Analysen
11. März 2015
AUTOR: Businesscloud.de

Wenn Daten unkontrolliert in die Wolke diffundieren

Viele Firmen-Blogs sind ätzend langweilig. Kein Wunder, wenn dort ein „Chief Cloud Evangelist“ zum gefühlten 100. Male die Segnungen des hauseigenen Superduper-Cloud-Services anpreist. Oder wenn sich „neutrale“ Analysten in einer Weise über die Vorzüge des besagten Dienstes äußern, dass einem Teleshopping-Sendungen („Nein, einfach unglaublich diese Thermofit-Space-Runner-Pfanne mit Antiglare-Dispersionsbeschichtung!!“) wie ein Ausbund an Neutralität und Sachlichkeit erscheinen.

2014_11_11_Business_Cloud_Filesharing_Microsoft

Microsoft und Dropbox erleichtern das Speichern von Dokumenten direkt aus Office 365 heraus auf der Filesharing-Plattform von Dropbox. Das erfüllt etliche IT-Experten mit Unbehagen, aus Sorge um den Verlust von Geschäftsdaten. Bild: Microsoft

Aber es gibt sie noch, die kleinen Lichtblicke, wie etwa Anfang November 2014 im Office Blogs von Microsoft. Dort kam es zu folgendem kleinen Disput zwischen drei Lesern: Schreibt Brent: „Hoffentlich kann man diese Funktion deaktivieren. Ich brauche nicht noch eine Möglichkeit für 'meine' User, Firmendaten ohne Wissen der IT-Abteilung aus dem Unternehmen hinaus zu schmuggeln.“ Antwortet Paul: „Wenn Deine Leute Dokumente aus der Firma wegschaffen wollen, dann finden sie einen Weg. Du führst Dich auf wie ein Polizist, der glaubt, er sei der Liebe Gott, nur weil er sich eine Pistole umschnallen darf. Hab doch einfach mehr Vertrauen in Deine Kollegen. Außerdem sind 95 Prozent der Dokumente in Firmen für Konkurrenten völlig wertlos!“ Darauf DJ, kurz und bündig: „Brent hat Recht!“

„Gut, dass der Chef das nicht weiß!“

Der Anlass dieser kleinen Diskussion: Microsoft und der Cloud-Storage-Dienst Dropbox arbeiten zusammen. Es soll für Nutzer der Cloud-Version von Office nun einfacher sein, Dokumente direkt aus Word, Excel und Powerpoint heraus in Dropbox-Verzeichnissen zu speichern. Kein Wunder, dass Brent leichte Bedenken hat. Denn es ist nun einmal eine Tatsache, dass viele IT-User in Firmen ohne Wissen und Zustimmung von Geschäftsführern, Abteilungsleitern und IT-Abteilung Cloud-Dienste für berufliche Zwecke nutzen. Das Resultat ist eine „Schatten-IT“, die erhebliche Risiken für vertrauliche Unternehmensdaten mit sich bringen kann. Dass gerade Cloud-Anwendungen ein wesentlicher Bestandteil dieser „Shadow IT“ sind, belegt der „Cloud Adoption and Risk in Europe Report - Q3 2014“ der Cloud-Security-Firma Skyhigh Networks. Demnach landen 52,6 Prozent aller Daten, die europäische Unternehmen in eine Cloud hochladen, bei Diensten, die eigentlich für private Nutzer bestimmt sind, nicht bei Services, die auf den professionellen Einsatz zugschnitten sind.

2014_11_11_Business_Cloud_Sharing_Skyhigh

Die Top 20 der Consumer-Cloud-Services, die europäische Firmen laut der Sicherheitsfirma Skyhigh Networks nutzen. Dort sind etliche Filesharing-Dienste zu finden, etwa Dropbox, Google Drive und Apple iCloud. Bild: Skyhigh Networks

Zu diesen „Consumer-orientierten“ Cloud-Storage- und –Filesharing-Diensten gehören beispielsweise Google Drive, Dropbox und Apples iCloud. Microsofts OneDrive findet sich dort noch nicht. Aber das dürfte sich bald ändern, zumal Microsoft jedem Nutzer von Office 365 dort einen unbegrenzten Speicherplatz zugesichert hat.

Viele Cloud-Dienste nicht konform mit Datenschutz-Recht

Insgesamt, so der Report von Skyhigh, sind 74,3 Prozent der Cloud-Dienste, die Unternehmen in Europa einsetzen, nicht mit den EU-Datenschutzregelungen konform. So werden nicht einmal 15 Prozent der Services über Rechenzentren bereitgestellt, die in der EU angesiedelt sind. Das deutsche und das EU-Datenschutzrecht schreiben jedoch vor, dass dies speziell bei der Speicherung und Verarbeitung personenbezogener Daten der Fall sein muss.

2014_11_11_Business_Cloud_Filesharing_Datenschutz_Skyhigh

Böse Falle: Fast drei Viertel der Cloud-Dienste, die europäische Firmen verwenden, sind nicht konform mit den geltenden Datenschutzregelungen. Bild: Skyhigh Networks

Die Marktforschungsgesellschaft IDC Deutschland kommt in einer Untersuchung zum Thema „Enterprise Content Management“ auf ähnliche Ergebnisse. So nutzen 53 Prozent der deutschen Firmen bereits Tools, um Daten und Dokumente zu teilen, weitere 31 Prozent wollen das in den kommenden 12 bis 24 Monaten tun. Doch nur 25 greifen auf eine Enterprise-Lösung zurück, die von der IT unterstützt wird. Und was tun Unternehmen gegen den illegalen Einsatz von Cloud-gestützten Filesharing- und Storage-Diensten? Wenig, so eine andere Studie, welche die renommierte Beratungsfirma Ponemon Institute im Auftrag des System- und Software-Hauses Axway durchführte. Ein Resultat: An die 39 Prozent der Unternehmen und Organisationen verbieten die Nutzung von Public-Cloud-Diensten für das Speichern und Sharing von Daten, 40 Prozent dagegen nicht. An die 18 Prozent schränken die Nutzung solcher Cloud-Services ein.

Regel ja – Kontrolle nein

Das heißt, ein Gutteil der Firmen, besagte 40 Prozent, trifft überhaupt keine Vorkehrungen, um den Verlust von Geschäftsdaten oder Verstöße gegen Datenschutzregeln zu unterbinden. Noch besser: 48 Prozent der Firmen verzichten darauf, die Umsetzung von Regeln für den Umfang mit solchen Cloud-Storage-Diensten zu überprüfen, und 25 Prozent führen nur manuelle Checks durch. Das dürfte vor allem in größeren Firmen mit vielen IT-Nutzern nicht praktikabel sein.

2014_11_12_Business_Cloud_Filesharing_Enforcement_Ponemon

Regeln ja, aber nur schwache Durchsetzung: Einer Studie des Ponemon Institute zufolge verzichten viele Unternehmen darauf, vorhandene „Policies“ bezüglich der Nutzung von Filesharing-Diensten in der Praxis umzusetzen. Bild: Ponemon Institute

Keine „Keule“

Doch was tun? Die „Keule“ schwingen und gnadenlos jeden Mitarbeiter mit dem fristlosen Hinauswurf drohen, der einen Service wie Dropbox nutzt? Das wäre höchst kontraproduktiv. Denn viele Mitarbeiter greifen mangels Alternativen auf solche Dienste zurück. Sie wollen zu Hause oder unterwegs Zugriff auf Firmeninformationen haben oder an Projekten weiterarbeiten, wenn sie auf Dienstreise sind. Die „Keule“ würde somit gerade hoch motivierte Beschäftigte treffen. Hinzu kommt zudem, dass immer mehr Unternehmen auf Cloud-gestützte Dienste für das Speichern und „Sharen“ von Daten angewiesen sind. Eine dezentrale Arbeitswelt, in der räumlich verteilte Abteilungen gemeinsam an neuen Produkten arbeiten oder Unternehmen mit ihren Partnern Daten austauschen, ist ohne solche Dienste undenkbar. „Unternehmen stehen heute vor der Herausforderung, geschäftskritische Daten firmenintern sowie Partnern und Lieferanten auf einfache Weise zugänglich zu machen, gleichzeitig aber diese Informationen vor dem unberechtigten Zugriff Dritter zu schützen“, bestätigt Steve Janata, Senior Analyst bei der Beratungsfirma Crisp Research, die sich auf den Cloud-Computing-Bereich spezialisiert hat. „Geschäftsanwender haben dabei ein wachsendes Interesse an Lösungen, die einfach zu bedienen sind, Device-unabhängig funktionieren und gleichzeitig mit ihren Compliance-Regelungen sowie den Anforderungen der Informationssicherheit vereinbar sind.“

Was ein Filesharing-Dienst in der Cloud bieten sollte

Gefordert sind daher Cloud-Speicherdienste, die
  • eine sichere, rechtskonforme Speicherung aller Daten in Deutschland erlauben, am besten in Rechenzentren in Deutschland oder zumindest einem EU-Land,
  • den Zugriff von unterschiedlichen Endgeräten wie Windows-Systemen, Macs, und Mobilgeräten aus ermöglichen, inklusive Offline-Nutzung von Dateien, falls einmal keine Netzwerkverbindung vorhanden ist,
  • auch den Zugriff via Web-Browser unterstützen,
  • eine starke Verschlüsselung der Daten und Verbindungsinformationen bieten, und zwar beim Transport der Informationen und „at rest“, also auf dem Speichermedium im Cloud-Rechenzentrum,
  • möglichst einfach und intuitiv zu bedienen sind, also beispielsweise kein VPN benötigen,
  • eine detaillierte Verwaltung von Zugriffsrechten auf Daten bieten,
  • das einfache Anlegen und Löschen von Nutzergruppen erlauben und
  • mit Verzeichnisdiensten wie Microsoft Active Directory oder LDAP zusammenarbeiten sowie
  • in Datacentern gehostet werden, die über eine Sicherheitszertifizierung wie ISO 27001 verfügen.
Eine umfangreiche Anforderungsliste. Etliche, um nicht zu sagen die meisten in Deutschland verfügbaren Dienste würden bei einem „Produktcheck“ anhand dieser Kriterien sang- und klanglos durchfallen.

Cloud-Speicher „Made in Germany“.

Fündig wird man dagegen bei einigen deutschen Systemhäusern und Cloud-Service-Providern. Pironet NDH bietet beispielsweise mit „Enterprise Cloud Drive“ einen Filesharing-Service an, der den oben genannten Anforderungskatalog erfüllt.

2014_11_12_VBusines_Cloud_Filesharing_Pironet

Einige der wichtigsten Anforderungen an Filesharing-Dienste, die via Cloud bereitgestellt werden: Sie müssen möglichst viele Endgeräte-Typen unterstützen, sicher und leicht bedienbar sein sowie möglichst von einem Provider bereitgestellt werden, der EU- oder deutschem Recht unterliegt. Bild: Pironet NDH

Komplizierter wird es bei Anbietern wie etwa Fujitsu. Dieses Unternehmen, einst Fujitsu-Siemens, wirbt damit, seine Cloud-Diensten würden in Deutschland gehostet. Stimmt. Und man sei ja eigentlich ein deutsches Unternehmen. Stimmt nicht, denn es hat seinen Firmensitz in Japan. Das heißt, wer auf Nummer sicher gehen möchte, darf sich zunächst mit den japanischen Datenschutzregeln auseinandersetzen. Noch kritischer wird es bei Filesharing- und Storage-Diensten von Firmen wie SugarSync oder auch Dropbox. Sie haben in den vergangenen Monaten verstärkt Geschäftskunden in Deutschland und der EU adressiert und ihre Dienste stärker auf Business-Anwender ausgelegt. Aber: Diese Firmen haben ihren Hauptsitz in den USA, unterliegen somit US-Recht und müssen gegebenenfalls Kundendaten herausrücken, wenn das eine amerikanische Behörde möchte.

Fazit: Filesharing ja, aber bitte sicher und gesetzeskonform

Fazit: In einer modernen Arbeitswelt ist ein „Content-Sharing“ über Cloud-Plattformen für Unternehmen unverzichtbar. Doch die Mitarbeiter im Regen stehen lassen und ihnen keine Lösung anzubieten, die einfach zu bedienen, sicher und vor allem rechtskonform ist, darf nicht sein. Dies umso mehr, als es solche Lösungen gibt, einige sogar „Made and Hosted in Germany“. Übrigens: Die nette Debatte im Microsoft-Blog ist leider nicht mehr zu bewundern. Nach kurzer Zeit verschwanden die Statements von Brent und Paul (die Namen wurden geändert). Schade! Dann bleiben wohl doch nur wieder staubtrockene Beiträge in Firmen-Blogs oder die Thermofit-Space-Runner-Pfanne.

Seite teilen

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

Nürnberg, im Dezember 2018: VR-Brillen, Roboter, an Computerspiele erinnernde Lernumgebungen – beim Finale des von WorldSkills ... Weiterlesen
Die CANCOM SE hat heute gegenüber dem Vorstand der Pironet AG ihr am 22. August 2018 gemäß § 327a Abs. 1 Satz 1 AktG gestelltes ... Weiterlesen
Köln, den 14. September 2018: Die langjährigen Partner IBM und CANCOM bauen ihr Cloud-Geschäft gemeinsam weiter aus: Der weltweit ... Weiterlesen
Köln, den 28. August 2018: Zu den anspruchsvollsten Prüfstandards für Informationssicherheit und Compliance zählt der ... Weiterlesen