Weg mit der Schatten-IT! Der Kampf gegen Dropbox&Co.
Der Siegeszug öffentlicher Cloud-Angebote vergrößert in vielen Kreditinstituten das Schattenreich nicht genehmigter IT-Anwendungen. Kein Problem? Google Drive, Dropbox und Konsorten entlasten ja die eigene IT-Abteilung? Wer so denkt, übersieht die gravierenden Risiken, die von der unkontrollierten Schatten-IT ausgehen: Nicht nur die Vertraulichkeit und Datensicherheit sind bedroht, sondern auch die Compliance gegenüber regulatorischen BaFin-Vorgaben.
von Ulf Schitkowsky, Solution Manager Dynamic Datacenter bei Computacenter
Von vier auf 300 Millionen stieg die Zahl der weltweiten Dropbox-Nutzer zwischen 2010 und 2014 – ein Zuwachs um satte 7.400 Prozent. Was keine Statistik sagt: Wie viele Investmentspezialisten und Anlageberater wohl zu dieser User-Gemeinde gehören und per Dropbox beispielsweise PowerPoint-Folien zwischenspeichern, die beispielsweise Renditeprognosen oder Fonds-Anlagestrategien enthalten. Die Verlockung dazu ist groß, denn Speicherdienste aus der Public Cloud sind mit wenigen Klicks einsatzbereit. Viel länger würde es dauern, den Geschäftsweg über die IT-Abteilung einzuhalten und dort einen vergleichbaren Service zu bestellen.Im dunklen Schatten der Wolke
Das Phänomen der Schatten-IT betrifft beileibe nicht nur die Kreditwirtschaft, sondern genauso auch andere Branchen: Kostenfreie Wolken-Dienste werden heute in großem Stil an der Unternehmens-IT vorbei geschäftlich eingesetzt. Laut einer aktuellen Studie von Skyhigh nutzten Belegschaften im Schnitt 738 verschiedene Cloud-Angebote – mehr als das Zehnfache der offiziell bei den IT-Abteilungen registrierten Dienste. 82 Prozent der befragten Mitarbeiter bekannten sich in der Umfrage dazu, nicht genehmigte Cloud-Apps für geschäftliche Zwecke zu nutzen. Als Hauptgründe nannten sie die Vertrautheit mit den betreffenden Anwendungen aus dem Privatgebrauch sowie langwierige Genehmigungsverfahren in der jeweiligen IT-Abteilung.
Welches Risiko sie damit eingehen, dürfte den wenigsten Public-Cloud-Enthusiasten bewusst sein. Sie wollen ihrem Arbeitgeber ja nicht schaden, sondern im Gegenteil ihre Aufgaben durch die Cloud-Nutzung effizienter erledigen. Nur bedenken sie eben nicht, dass in der öffentlichen Wolke erhebliche Gefahren lauern – vor allem der Abfluss vertraulicher Informationen. Aber auch die Datenverfügbarkeit ist in der Wolke keineswegs garantiert. Denn die Backup-Recovery-Verfahren der Bank können hier naturgemäß nicht zum Zuge kommen. Weil nicht registrierte Cloud-Apps sämtliche Governance- und Compliance-Regeln der Bank unterlaufen, bieten sie Cyber-Kriminellen zusätzliche Angriffspunkte.
Die unkontrollierte Schatten-IT reißt also neue Sicherheitslücken auf; Geldhäuser sind verwundbarer für Hackerattacken.
KWG §44 Prüfung:
Mehr als nur Controlling oder Kreditgeschäft
Selbst wenn bis dato noch kein sichtbarer Schaden entstanden ist, läuten die Alarmglocken spätestens dann, wenn die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den nächsten Prüfungstermin gemäß Kreditwesengesetz § 44 ansetzt. Bei 44er Prüfungen geht es heute nicht mehr allein um das Controlling oder Kreditgeschäft, sondern vermehrt auch darum, ob die Banken-IT den Mindestanforderungen an das Risikomanagement (MaRisk) entspricht. Als Maßstab dafür gelten gängige Sicherheitsstandards wie ISO 27001 oder der Grundschutzkatalog
des Bundesamtes für Sicherheit in der Informationstechnik.
Wie kommt Licht ins Dunkel?
Angesichts des drohenden Kontrollverlusts bei ausufernder Schatten-IT lässt sich Konformität mit solchen Standards in einem 44er Audit sicherlich nicht nachweisen. IT-Leiter sind deshalb gut beraten, nicht erst auf den Brief von der BaFin zu warten, sondern sofort aktiv zu werden und der Schatten-IT den Kampf anzusagen.
Das erste Teil-Ziel heißt Transparenz: Es muss zunächst festgestellt werden, welche nichtregistrierten Cloud-Anwendungen in der Bank im Einsatz sind und warum. Doch liefert diese einmalige Analyse nur ein momentanes Abbild der Schatten-IT und sagt noch wenig darüber aus, welche Apps künftig mal eben so aus der Cloud geordert werden. „Schatten-Analysen“ müssen daher kontinuierlich durchgeführt werden – genau wie Virenscans. Darüber hinaus sollte die Möglichkeit erwogen werden, externe Cloud-Dienste über die Firewall zu blockieren. Allerdings ist dieses harte Vorgehen nicht in jedem Falle empfehlenswert, da bei den Bankmitarbeitern ja offensichtlich ein Bedarf an den betreffenden Anwendungen besteht. Besser ist es also, wenn die IT-Abteilung die betreffenden Applikationen im Einzelnen unter die Lupe nimmt – und daraufhin entscheidet, welche davon unterbunden oder in das offizielle IT-Portfolio der Bank übernommen werden sollen.
Statt verbieten, geht manchmal auch robust verschlüsseln
Eine weitere Möglichkeit besteht darin, für besonders sensible Daten robuste Verschlüsselungsverfahren zur Verfügung zu stellen. Denn in chiffrierter Form können viele Informationen gefahrlos auch per Dropbox oder Google Drive gespeichert und geteilt werden. Bei der Übernahme bisheriger Schatten-Anwendungen in das bankeigene Lösungsportfolio bietet es sich an, öffentliche Cloud-Dienste durch vergleichbare Services aus der Private Cloud zu ersetzen. Sie unterliegen damit automatisch allen Sicherheits- und Compliance-Vorkehrungen der Bank. An dieser Stelle zeigt sich, dass die Analyse illegal genutzter Apps nicht nur eine restriktive Maßnahme ist, sondern auf der anderen Seite dazu beiträgt, das Lösungsspektrum näher am tatsächlichen Bedarf der Mitarbeiter auszurichten. Der Kampf gegen die Schatten-IT erweist sich somit als ein Impulsgeber für die weitere Entwicklung des Anwendungsportfolios in der Bank.
Sinnvolle Alternativen schaffen
Klar ist, dass riskante Cloud-Anwendungen aus dem Bankalltag verbannt und auf technischer Ebene blockiert werden müssen. Das beste Mittel gegen ein Wiederaufleben der Schatten-IT ist es jedoch, den Mitarbeitern die Motivation zu nehmen, sich illegal in der Public Cloud zu bedienen. Dazu wiederum muss die IT-Abteilung dem Thema Demand Management eine höhere Priorität beimessen – und die Fähigkeit zur Antizipation erwerben, um nicht nur den aktuellen, sondern auch zukünftigen Bedarf zu erkennen.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/20505
Schreiben Sie einen Kommentar