Anzeige
STRATEGIE: KWG §44/MARISK6. Oktober 2015

Weg mit der Schatten-IT! Der Kampf gegen Dropbox&Co.

Ulf Schitkowskycomputacenter
Autor Ulf Schitkowsky, ComputacenterComputacenter

Der Siegeszug öffentlicher Cloud-Angebote vergrößert in vielen Kreditinstituten das Schattenreich nicht genehmigter IT-Anwendungen. Kein Problem? Google Drive, Dropbox und Konsorten entlasten ja die eigene IT-Abteilung? Wer so denkt, übersieht die gravierenden Risiken, die von der unkontrollierten Schatten-IT ausgehen: Nicht nur die Vertraulichkeit und Datensicherheit sind bedroht, sondern auch die Compliance gegenüber regulatorischen BaFin-Vorgaben.

von Ulf Schitkowsky, Solution Manager Dynamic Datacenter bei Computacenter

Von vier auf 300 Millionen stieg die Zahl der weltweiten Dropbox-Nutzer zwischen 2010 und 2014 – ein Zuwachs um satte 7.400 Prozent. Was keine Statistik sagt: Wie viele Investmentspezialisten und Anlageberater wohl zu dieser User-Gemeinde gehören und per Dropbox beispielsweise PowerPoint-Folien zwischenspeichern, die beispielsweise Renditeprognosen oder Fonds-Anlagestrategien enthalten. Die Verlockung dazu ist groß, denn Speicherdienste aus der Public Cloud sind mit wenigen Klicks einsatzbereit. Viel länger würde es dauern, den Geschäftsweg über die IT-Abteilung einzuhalten und dort einen vergleichbaren Service zu bestellen.

Im dunklen Schatten der Wolke

Dashboard der Schatten-IT-Analyse, das einen Überblick über die aktuell genutzten Public Cloud Services gibt, durch das man einen schnellen Überblick der Nutzungs- und Bedrohungslage erhält.Computacenter
Dashboard der Schatten-IT-Analyse, das einen Überblick über die aktuell genutzten Public Cloud Services gibt, durch das man einen schnellen Überblick der Nutzungs- und Bedrohungslage erhält.Computacenter

Das Phänomen der Schatten-IT betrifft beileibe nicht nur die Kreditwirtschaft, sondern genauso auch andere Branchen: Kostenfreie Wolken-Dienste werden heute in großem Stil an der Unternehmens-IT vorbei geschäftlich eingesetzt. Laut einer aktuellen Studie von Skyhigh nutzten Belegschaften im Schnitt 738 verschiedene Cloud-Angebote – mehr als das Zehnfache der offiziell bei den IT-Abteilungen registrierten Dienste. 82 Prozent der befragten Mitarbeiter bekannten sich in der Umfrage dazu, nicht genehmigte Cloud-Apps für geschäftliche Zwecke zu nutzen. Als Hauptgründe nannten sie die Vertrautheit mit den betreffenden Anwendungen aus dem Privatgebrauch sowie langwierige Genehmigungsverfahren in der jeweiligen IT-Abteilung.

Drill down im Dashboard, durch den mehr Details zu einzelnen Daten ermittelt werden können.Computacenter
Drill down im Dashboard, durch den mehr Details zu einzelnen Daten ermittelt werden können.Computacenter

Welches Risiko sie damit eingehen, dürfte den wenigsten Public-Cloud-Enthusiasten bewusst sein. Sie wollen ihrem Arbeitgeber ja nicht schaden, sondern im Gegenteil ihre Aufgaben durch die Cloud-Nutzung effizienter erledigen. Nur bedenken sie eben nicht, dass in der öffentlichen Wolke erhebliche Gefahren lauern – vor allem der Abfluss vertraulicher Informationen. Aber auch die Datenverfügbarkeit ist in der Wolke keineswegs garantiert. Denn die Backup-Recovery-Verfahren der Bank können hier naturgemäß nicht zum Zuge kommen. Weil nicht registrierte Cloud-Apps sämtliche Governance- und Compliance-Regeln der Bank unterlaufen, bieten sie Cyber-Kriminellen zusätzliche Angriffspunkte.

Die unkontrollierte Schatten-IT reißt also neue Sicherheitslücken auf; Geldhäuser sind verwundbarer für Hackerattacken.

Filter für bestimmte Auswertungen visualisieren gezielte Informationen.Computacenter
Filter für bestimmte Auswertungen visualisieren gezielte Informationen.Computacenter

KWG §44 Prüfung:
Mehr als nur Controlling oder Kreditgeschäft

Selbst wenn bis dato noch kein sichtba­rer Schaden ent­stan­den ist, läu­ten die Alarm­glo­cken spä­tes­tens dann, wenn die Bundes­an­stalt für Fi­nanzdienst­leis­tungs­aufsicht (Ba­Fin) den nächs­ten Prüfungs­termin gemäß Kredit­wesen­gesetz § 44 an­setzt. Bei 44er Prüfun­gen geht es heu­te nicht mehr allein um das Controlling oder Kreditge­schäft, sondern vermehrt auch dar­um, ob die Banken-IT den Min­dest­anforde­run­gen an das Risikomanagement (Ma­Risk) ent­spricht. Als Maßstab dafür gel­ten gängige Si­cherheits­stan­dards wie ISO 27001 oder der Grund­schutzka­ta­log
des Bundes­amtes für Si­cherheit in der In­formati­ons­tech­nik.

Wie kommt Licht ins Dunkel?

Angesichts des drohenden Kontrollverlusts bei ausufernder Schatten-IT lässt sich Konformität mit solchen Standards in einem 44er Audit sicherlich nicht nachweisen. IT-Leiter sind deshalb gut beraten, nicht erst auf den Brief von der BaFin zu warten, sondern sofort aktiv zu werden und der Schatten-IT den Kampf anzusagen.

Das erste Teil-Ziel heißt Transparenz: Es muss zunächst festgestellt werden, welche nichtregistrierten Cloud-Anwendungen in der Bank im Einsatz sind und warum. Doch liefert diese einmalige Analyse nur ein momentanes Abbild der Schatten-IT und sagt noch wenig darüber aus, welche Apps künftig mal eben so aus der Cloud geordert werden. „Schatten-Analysen“ müssen daher kontinuierlich durchgeführt werden – genau wie Virenscans. Darüber hinaus sollte die Möglichkeit erwogen werden, externe Cloud-Dienste über die Firewall zu blockieren. Allerdings ist dieses harte Vorgehen nicht in jedem Falle empfehlenswert, da bei den Bankmitarbeitern ja offensichtlich ein Bedarf an den betreffenden Anwendungen besteht. Besser ist es also, wenn die IT-Abteilung die betreffenden Applikationen im Einzelnen unter die Lupe nimmt – und daraufhin entscheidet, welche davon unterbunden oder in das offizielle IT-Portfolio der Bank übernommen werden sollen.

Statt verbieten, geht manchmal auch robust verschlüsseln

van tuz/bigstock.com
van tuz/bigstock.com

Eine weitere Möglichkeit besteht darin, für besonders sensible Daten robuste Verschlüsselungsverfahren zur Verfügung zu stellen. Denn in chiffrierter Form können viele Informationen gefahrlos auch per Dropbox oder Google Drive gespeichert und geteilt werden. Bei der Übernahme bisheriger Schatten-Anwendungen in das bankeigene Lösungsportfolio bietet es sich an, öffentliche Cloud-Dienste durch vergleichbare Services aus der Private Cloud zu ersetzen. Sie unterliegen damit automatisch allen Sicherheits- und Compliance-Vorkehrungen der Bank. An dieser Stelle zeigt sich, dass die Analyse illegal genutzter Apps nicht nur eine restriktive Maßnahme ist, sondern auf der anderen Seite dazu beiträgt, das Lösungsspektrum näher am tatsächlichen Bedarf der Mitarbeiter auszurichten. Der Kampf gegen die Schatten-IT erweist sich somit als ein Impulsgeber für die weitere Entwicklung des Anwendungsportfolios in der Bank.

Sinnvolle Alternativen schaffen

Klar ist, dass riskante Cloud-Anwendungen aus dem Bankalltag verbannt und auf technischer Ebene blockiert werden müssen. Das beste Mittel gegen ein Wiederaufleben der Schatten-IT ist es jedoch, den Mitarbeitern die Motivation zu nehmen, sich illegal in der Public Cloud zu bedienen. Dazu wiederum muss die IT-Abteilung dem Thema Demand Management eine höhere Priorität beimessen – und die Fähigkeit zur Antizipation erwerben, um nicht nur den aktuellen, sondern auch zukünftigen Bedarf zu erkennen.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert