Carsten Graf, Managing Director DACH bei Code42
Den Business-Forecast fix über Box verschicken, interne Telkos über Skype aufsetzen, die letzten Vertragsdetails per Whatsapp abklären und die Daten liegen auf dem Laptop. Da hat man sie schließlich immer griffbereit ohne die lahme Serververbindung in Kauf nehmen zu müssen. Laut der aktuellen CRTL-Z-Studie von Code42 speichern über die Hälfte der Entscheider in Unternehmen wichtige Daten auf Laptops und Desktops anstatt auf zentralen Servern [1]. Und sage und schreibe drei Viertel nutzen auch beruflich Services, die sie im privaten Alltag kennen und schätzen. Und warum auch nicht?
IT-Sicherheitsverantwortliche und Datenschützer schlagen da jedoch die Hände über dem Kopf zusammen. All das ist sogenannte „Schatten-IT“, also Anwendungen, die weder mit den Sicherheits-und Compliance-Richtlinien des Unternehmens übereinstimmen noch von der IT umfassend überwacht und abgesichert werden können. Blinde Flecken, die durch gezielte Angriffe oder schlicht Unachtsamkeit zum ernstzunehmenden Problem werden können.
Laut der Studie ist einem Großteil der Entscheider durchaus bewusst, dass nicht freigegebene Anwendungen ein immenses Risiko darstellen und Datenverlust verheerende Auswirkungen auf Image und Geschäft haben kann. Wie passt das zusammen? Versuchen wir uns an einem Psychogramm.
Datenschutz allein ist nicht effektiv
Eines dürfte mittlerweile in allen Chefetagen als fundamentale Wahrheit verankert sein: Daten sind der Motor und die Grundlage für Geschäftserfolg in einer digitalisierten Welt. Darum ist ihre Absicherung – gegen Verlust oder die Augen Dritter – auch ein zentrales Anliegen in allen modernen Unternehmen. Da man nur beschützen kann, was man stets im Blick hat, sind dort in der einen oder anderen Form entsprechende Richtlinien in Kraft, die vom Management unterstützt und forciert werden. Daten werden nur auf dem zentralen Server oder im Datenzentrum bearbeitet und gespeichert, Netzwerkzugriff geschieht über VPN-Client, Daten werden nur auf von der IT freigegebenen Wegen übertragen, E-Mails sind verschlüsselt und Mobilgeräte werden von den Administratoren kontinuierlich verwaltet und abgesichert.
Damit sind die Daten und somit die Geschäftsgrundlage des Unternehmens lückenlos abgesichert. Weder Angriffe noch Ausfälle oder menschliches Versagen stellen eine Gefahr dar. Das klingt doch nach eitel Sonnenschein! Leider ist es nicht so einfach, denn Sicherheit allein, macht noch kein profitables Geschäft.
Agilität ist – auch – Unternehmensziel
Effizienz und Produktivität in der Verarbeitung von Informationen sind die wahren Schrittmacher des Business im Zeitalter der Digitalisierung. Auf der Management-Ebene gilt das umso mehr, da dort die Informationsstränge zusammenlaufen und koordiniert werden sowie wichtige Entscheidungen in kurzer Zeit gefällt werden müssen. Es ist also entscheidend, zu jedem Zeitpunkt alle Daten, die man braucht, schnell zur Hand zu haben und zielgerichtet in ein Ergebnis umzuwandeln – egal wo man ist.
Das ist der Punkt, an dem sich zwei Imperative aneinander aufreiben und den fundamentalen Konflikt verursachen, in dem sich die Entscheider befinden: Conformance versus Performance. Die Notwendigkeit, Daten umfassend abzusichern, bedeutet, dass stets absolute Übersicht und Kontrolle über sie gewährleistet sein muss. Und um das umzusetzen, sind meist sehr starre Infrastrukturen und Prozesse nötig. So wichtig so ein rigides Konzept auf der einen Seite ist, so restriktiv und unpraktikabel ist es auf der anderen. Es unterbindet die entscheidende Agilität und Flexibilität, die das Business heutzutage von Unternehmen verlangt.
„Schatten-IT“: der produktive Weg
Man könnte meinen, der moderne Entscheider sei ständig mit sich selbst im Zwist und auf der Suche nach einem Ausweg aus diesem Dilemma zwischen Sicherheit und Effizienz. Allerdings entspricht das in den seltensten Fällen der Realität. Und das ist auch gut so. Es ist die erste und wichtigste Aufgabe des Managements, sein Unternehmen effizient zu führen und dafür zu sorgen, dass es produktiv und damit profitabel ist. Um das zu erreichen ist es nur logisch, die effektivsten Werkzeuge und Prozesse zu benutzen, die man kennt. Whatsapp, Google Docs, Dropbox, Skype und Co. sind nun mal oft unmittelbarer, schneller und komfortabler als E-Mail und Telefon.
Die Nutzung von „Schatten-IT“ ist also meist weder böse Absicht, noch Leichtsinn oder Unachtsamkeit. Es ist die positive Entscheidung dafür, seine Aufgaben bestmöglich und zum Wohle des gesamten Unternehmens zu erledigen. Aus Sicht des Managements ist das Dilemma also eigentlich keines, da die Effizienz hier zu Recht an erster Stelle steht.
Das Dilemma liegt also auf Seiten der IT. Dort raufen sich die Verantwortlichen die Haare und sind verzweifelt auf der Suche nach dem heiligen Gral, der ihnen hilft, Gefahrenherde einzudämmen oder sie gleich von Vornherein zu verhindern. Im Hinblick auf die oben beschriebenen Prioritäten des Managements, ist das jedoch eine wahre Sisyphos-Aufgabe. Es gibt einen Ausweg und er beginnt in den Köpfen.
Sicherheitskonzepte neu denken
Die Sicherheitsbedenken dürfen nicht zweitrangig sein. Auch und gerade bezüglich Datensicherheit und -schutz können – trotz aller guten Absichten – keine Kompromisse eingegangen werden. Strikte Einschränkungen sind hier jedoch nicht der optimale Weg, da sie früher oder später höchstwahrscheinlich sowieso umgangen werden. Vielmehr sollten in Sachen IT-Sicherheit dieselben Agilitäts- und Effizienzgedanken in die DNA eingeflochten werden, die die restlichen Teile des Unternehmens bereits leben und erfolgsorientiert umsetzen. Der Ansatz sollte nicht lauten: „Wie halte ich alle davon ab, das zu tun, was sie tun?“ sondern „Wie stelle ich umfassenden Schutz sicher, wenn alle tun, was sie tun?“. Es geht eher darum, gute Dinge zu ermöglichen, anstatt schlechte zu verhindern. Dazu muss man weg von einem reinen Präventions-orientierten Ansatz und hin zu einem ganzheitlichen gelangen, der auch Wiederherstellung und Sichtbarkeit miteinschließt.
Die „alten“ Tugenden bleiben dabei natürlich erhalten. Aufklärung unter den Mitarbeitern darüber, was Schatten-IT ist und warum sie problematisch ist, ist der erste und wichtigste Schritt. Dabei sollte jedoch nicht mit dem erhobenen Zeigefinger argumentiert werden. Mitarbeiter, die ständig Angst haben, etwas falsch zu machen oder von vornherein das Gefühl haben, sie werden als potentielles internes Problem angesehen, sind weniger produktiv und vor allem weniger zufrieden, da ihnen nicht vertraut wird. Im schlimmsten Fall werden so Ressentiments geschürt, die mittelfristig zum Verlust entscheidender Fachkräfte im Unternehmen führen können, was sich direkt negativ auf die Wettbewerbsfähigkeit auswirken kann. Stattdessen sollte empathisch die gute Absicht der Mitarbeiter und Entscheider bei der Verwendung von Schatten-IT betont und im gleichen Zuge praktikable Alternativen angeboten werden.
Gefahren vermeiden – Schaden begrenzen
Daher ist ein weiterer integraler Bestandteil der IT-Sicherheit, richtlinienkonforme Tools anzubieten, die den Mitarbeitern gleichermaßen effizienteres Arbeiten ermöglichen. Wenn Schatten-IT keinen Vorteil mehr bietet, wird sie auch aus dem Alltag verschwinden.
Ganz wird man sie jedoch nicht ausmerzen können. Entweder ist die Implementierung abgesegneter Lösungen zu langwierig oder teuer, oder sie sind schlicht doch nicht so effizient und elegant wie ihre zwielichtigen Alternativen. Als drittes können natürlich auch die Vorlieben der User ein entscheidender Faktor sein. Vielleicht will jemand einfach lieber die gewohnte App nutzen, statt sich in eine neue einzuarbeiten. Daher sollte auf der technischen Seite eine umfassende Sicherheitsstrategie eingerichtet werden, die nicht nur darauf aus ist, Gefahren zu vermeiden, sondern auch die Auswirkungen im Ernstfall minimiert.
Neben den Herausforderungen, die im Falle einer Sicherheitsverletzung innerhalb eines Unternehmens entstehen, sind nämlich die Konsequenzen nach außen hin nicht weniger verheerend. Je länger es dauert, einen Zwischenfall intern zu beheben, desto wahrscheinlicher ist es, dass Kunden und Stakeholder davon erfahren. Das wiederum kann sich sehr schlecht auf die Reputation auswirken. Und diese Rechnung kennen wir alle: Ein schlechter Ruf ist schlecht für das Geschäft.
Resumé
Es ist an der Zeit für Visionäre und leitende Angestellte im Bereich IT-Sicherheit, die Ärmel hochzukrempeln. Hier liegt die Verantwortung bei den CIOs, CISOs und Datenschutzbeauftragten. Unternehmen müssen ihre Fähigkeit zur Erholung im Fall einer Sicherheitsverletzung verbessern. Denn nach allem, was wir bisher über die Nutzung von Schatten-IT herausgefunden haben und angesichts der Tatsache, dass etwa die Hälfte der Unternehmen in der CTRL-Z-Studie angeben, innerhalb der letzten zwölf Monate Opfer einer Sicherheitsverletzung gewesen zu sein, ist die Frage heute „nicht ob, sondern wann es zu einem Zwischenfall kommt“.
Für den Erfolg eines Unternehmens zählt allein die Produktivität und Reaktionsfähigkeit. Und genauso verhält es sich mit der Sicherheit in einem modernen Unternehmen. Ihre Strategie muss auf drei Hauptsäulen beruhen. Erstens: Sie müssen Risiken früher erkennen können. Ein vollständiger Überblick über den Speicherort Ihrer Daten, die Datenbewegungen und den Zugriff auf die Daten, kann als Frühwarnsystem dienen, um Sie auf interne und externe Bedrohungen hinzuweisen. Zweitens: Das Unternehmen als Ganzes muss stets fähig sein, alle benötigten Daten schnell und effizient wiederherzustellen. Wenn es zu einer Sicherheitsverletzung kommt, müssen die internen Teams und die eingesetzten Backup-Lösungen getestet und bereit sein, sich der Herausforderung geordnet und vorbereitet zu stellen. Logischerweise darf die Backup-Lösung dafür nicht nur Server und Datenzentren, sondern muss auch die verteilten Endpunkte wie Laptops und PCs abdecken. Und zu guter Letzt muss das Unternehmen fähig sein, sich schnell zu erholen, um wieder wettbewerbsfähig zu sein. Zeit ist Geld und in der modernen Geschäftswelt gilt dies auch für Daten.
Referenzen
[1] https://on.code42.com/go/de-study-ctrlz-report/
Code42 bietet cloudbasierte Lösungen für Datensicherheit, umfassendes Backup und schnelles Recovery zur zentralen Verwaltung und Absicherung von kritischen Daten. Sie ermöglichen zudem die Überwachung von Datenbewegung und -nutzung an Endpunkten und die Einhaltung von Datenschutz-Richtlinien.
