Ohne Identity Management sind Datenschutzprobleme programmiert
Die Probleme beginnen schon mit den Benutzeridentitäten. Wenn Mitarbeiter sich auf eigene Faust für einen Cloud-Service anmelden, legen sie in der Regel einen neuen persönlichen Account an. "Lange Zeit setzten solche Cloud-Services auf ihre eigenen Identifizierungs- und Authentifizierungssysteme mit einem Benutzernamen und einem Passwort", berichtet Francois Lasnier, Senior President für den Bereich Authentifizierung beim Security-Anbieter Gemalto.
Wer etwa Salesforce.com nutzen wollte, musste sich innerhalb des Systems ein Konto anlegen. Heutzutage bieten die populärsten Services ausgefeilte Provisioning- und Management-Systeme, die auf Standards basieren. Dabei kommt in der Regel die Security Assertion Markup Language (SAML) zum Einsatz. Mit OpenID gewinnt noch ein weiterer Standard an Bedeutung. "Das hilft den Unternehmen beim Einrichten von Access-Management-Lösungen", so Lasnier. Viele Hürden auf dem Weg zu einem breiten Cloud-Einsatz würden damit aus dem Weg geräumt.
Die berüchtigte Schatten-IT lässt sich damit aber nur teilweise eindämmen. Denn nur die großen und weitverbreiteten Cloud-Anwendungen unterstützen solche Standards. Startups oder Consumer-orientierte Cloud-Provider verzichten oft darauf. Kleinere Cloud-Anbieter tun sich bisweilen schwer, Nutzerdaten vor Hackerangriffen zu schützen, kritisiert Mark McArdle, CTO beim kalifornischen Softwareanbieter eSentire. "Security steht da oft nicht im Vordergrund." Vielen kleineren Playern fehle schlicht das Wissen, Sicherheitsfunktionen in ihre Dienste einzubauen.
Ein unzureichendes Identity Management führt unweigerlich zu Datenschutzproblemen. So werden beispielsweise Nutzerkonten von Mitarbeitern, die das Unternehmen verlassen, nicht automatisch deaktiviert. Haben Sie einen Account bei einem File-Sharing-Dienstleister, über den sie Dokumente mit Kollegen oder Geschäftspartnern austauschen, verlieren Unternehmen nach einem Ausscheiden des Angestellten die Kontrolle über diese Daten. "Der Mitarbeiter kann zu jeder Zeit von jedem Ort aus auf solche Daten zugreifen", warnt Erik Brown, CTO beim Softwarehaus GigaTrust. "Das ist großartig für den Mitarbeiter, aber ein Sicherheitsrisiko für das Unternehmen."
"Nur ein Viertel der Cloud-Services ist GDPR-ready"
Risiken ganz anderer Art birgt die Schatten-IT im Bereich Compliance. Laut der Netskope-Untersuchung erfüllt weniger als ein Viertel der von Unternehmen genutzten Cloud-Services die Anforderungen der EU-Datenschutzgrundverordnung (GDPR, General Data Protection Regulation). Das könnte für etliche Organisationen Konsequenzen haben.
Denn ab 25. Mai 2018 müssen Unternehmen mit Strafzahlungen rechnen, wenn sie gegen die Verordnung verstoßen. Selbst Cloud-Dienste, die in der Erhebung in Sachen GDPR-Readiness eine gute Bewertung erhalten haben, sind nicht frei von Problemen. Netskope verweist darauf, dass 57 Prozent dieser Services keine verschlüsselte Datenhaltung beim Provider unterstützen. Mehr als 80 Prozent replizierten Daten in geografisch verteilte Rechenzentren.