Software as a Service-Anwendungen sind in Unternehmen inzwischen weit verbreitet. IT-Sicherheitsspezialist Forcepoint erläutert, welche Risiken dadurch für sensible Daten entstehen – und wie sie sich entschärfen lassen.
Weit verbreitet: Um von Flexibilität und Skalierbarkeit zu profitieren, nutzen Unternehmen Büroanwendungen, Collaboration-Tools oder Kundenmanagementsysteme aus der Cloud. Zudem ermöglicht Software as a Service zudem ein orts- und zeitunabhängiges Arbeiten. Damit bildet dieses Betriebskonzept Software die Grundlage für Homeoffice und mobiles Arbeiten.
Sicherheitsteams, die für den Schutz sensibler Unternehmensdaten verantwortlich sind, stellt diese Praxis allerdings vor große Herausforderungen. Der IT-Security-Spezialist Forcepoint erläutert die größten Hürden:
- Begrenzte Schutzfunktionen der Plattformen
Die Konfigurationsmöglichkeiten von Software as a Service-Plattformen wie Microsoft Office 365, Salesforce oder Zoom reichen für einen zuverlässigen Schutz kritischer Daten nicht aus. Unternehmen können mit diesen Applikationen nicht verhindern, dass ihre Mitarbeiter personenbezogene Daten, Finanzinformationen oder Betriebsgeheimnisse versehentlich in der Cloud speichern. Dabei drohen Verstöße gegen gesetzliche Vorgaben wie den europäischen Datenschutz und gegen Branchenstandards wie Payment Card Industry Data Security Standard und schließlich der Verlust von geistigem Eigentum.
- Einsatz inoffizieller Cloudlösungen
Die Verbreitung hybrider Arbeitsmodelle hat eine beträchtliche Schatten-IT geschaffen. Im Homeoffice oder unterwegs nutzen viele Mitarbeiter nicht nur die offiziellen Cloudlösungen ihres Unternehmens. Weil es komfortabel ist, greifen sie oft auch auf private Applikationen wie Slack oder Dropbox zurück. Teilen sie mit solchen Tools sensible Unternehmensdaten über öffentliche Links, sind diese Informationen einem erheblichen Risiko ausgesetzt.
- Nutzung privater Endgeräte
Eine weitere gängige Praxis macht die Schatten-IT noch größer: Zuhause oder unterwegs greifen Mitarbeiter häufig mit ihren privaten Endgeräten auf die Cloud-Anwendungen zu. Diese Geräte befinden sich komplett außerhalb der Kontrolle der Unternehmens-IT. Das kann beispielsweise dazu führen, dass Mitarbeiter vertrauliche Dokumente aus Microsoft 356 auf ihre privaten PCs oder Smartphones herunterladen, die dort aus Sicherheitsgründen niemals gespeichert werden dürften.
„Software as a Service-Anwendungen stellen für sensible Unternehmensdaten ein erhebliches Risiko dar“, berichtet Frank Limberger, Data & Insider Threat Security Specialist bei Sicherheitsanbieter Forcepoint. „Diese Anwendungen deshalb zu verbieten, ist aber eine Alternative, denn sie machen Unternehmen und ihre Mitarbeiter zweifellos produktiver.“ Mit Sicherheitslösungen wie einem Cloud Access Security Broker könnten Unternehmen die Risiken der Cloud-Nutzung minimieren und ihren Mitarbeitern dadurch eine breite Nutzung ermöglichen.
„Cloud Access Security Broker erlauben es Unternehmen, alle genutzten Cloud-Anwendungen zu identifizieren und Zugriffe darauf gerätebasiert zu steuern“, erläutert Limberger. „Diese Anwendungen integrieren sich eng in ein System für Data Loss Prevention. Unternehmen können die Sicherheitsrichtlinien zum Schutz ihrer Daten dann über eine zentrale Managementkonsole über ihre On-Premises- und Cloud-Umgebungen hinweg ganzheitlich durchsetzen.“ Ein solches Vorgehen sei nicht nur effizienter, sondern verhindere auch Sicherheitssilos. Jürgen Frisch
