10. März 2014 - Datenschutz und Cloud-Nutzung

Datenschutzkonzept: Die Schatten-IT gehört dazu

Fachbereiche und einzelne Anwender nutzen Cloud-Dienste, ohne die IT darüber zu informieren. Die entstehenden Datenrisiken werden genauso übersehen wie die nicht freigegebenen Cloud-Anwendungen selbst. Nehmen Sie deshalb das Problem der Schatten-IT in Ihr Datenschutzkonzept auf.

Datenschutzkonzept Die Schatten-IT gehört dazu_merznatalia Datenschutz statt Schatten-IT: Mitarbeiter sollten nur freigegebene Cloud-Dienste nutzen (Bild: Thinkstock/merznatalia)

Cloud-Dienste sind schnell und flexibel verfügbar, obendrein sind viele Services im Cloud Computing noch kostenlos. Fachbereiche und einzelne Nutzer im Unternehmen greifen deshalb schnell einmal zu einer Anwendung aus der Cloud, wenn es für den Arbeitsalltag oder eine aktuelle Aufgabe nützlich erscheint.

In vielen Fällen suchen sich Einzelanwender und Fachbereiche dabei Cloud-Anwendungen aus, die intern nicht freigegeben oder geprüft sind. Die Gefahren für den Datenschutz, für personenbezogene und andere vertrauliche Daten, werden nicht gesehen.

Eigeninitiative kann gefährlich werden

Die Entwicklung hin zur sogenannten Schatten-IT, einer IT außerhalb der Kontrolle der internen IT-Abteilung, ist keine Ausnahme, sondern ein Trend. Die Marktforscher von Gartner erwarten für 2015, dass 35 Prozent des IT-Budgets der Fachbereiche ohne Einschaltung der internen IT-Abteilung ausgegeben werden. Laut einer VMware-Studie aus dem Jahr 2013 vermutet unter den befragten IT-Entscheidern mehr als jeder Dritte (37%), dass andere Abteilungen mitunter kostenpflichtige Cloud-Dienste ohne offizielle Genehmigung nutzen.

Die Folgen für den Datenschutz können massiv sein, denn Fachbereiche und erst recht einzelne Anwender sind kaum in der Lage, eine Sicherheits- und Datenschutz-Prüfung vorzunehmen, die Teil jeder offiziellen Freigabe sein sollte.

Anzeige

 IT-Know-how für den DSB

Tipp der Redaktion: IT-Know-how für den Datenschutzbeauftragten online

Weitere aktuelle Cloud-Themen finden Sie auch in der Datenschutz-Praxislösung „IT-Know-how für den Datenschutzbeauftragten“, Ihrem zuverlässigen, stets aktuellen Berater in allen Fragen der IT.


Licht in die Schatten-IT bringen

Um zu verhindern, dass personenbezogene Daten in unsichere Cloud-Dienste geladen werden, die höchstens den Sicherheitsansprüchen von Privatnutzern entsprechen, sollten Sie als Datenschutzbeauftragter unbedingt die Schatten-IT im Datenschutzkonzept berücksichtigen. Das bedeutet nicht, dass Sie zum Beispiel bei der Verfahrensprüfung auch nach Cloud-Diensten fragen sollten, die gar nicht zu den offiziellen Cloud-Services gehören. Denn diese wird Ihnen niemand so einfach nennen.

Wie aber kann man die Schatten-IT zum Teil der offiziellen IT und die Schatten-IT dadurch überflüssig werden lassen? Dazu sollten Sie eine regelmäßige Bedarfsanalyse vorschlagen, die zeigt, ob bestimmte Cloud-Anwendungen fehlen. Denn die Anwender registrieren sich ja nicht für einen Cloud-Dienst ohne jeden Bedarf.

Anwenderbefragung und Self-Service für mehr Datenschutz

Neben der Anwenderbefragung nach dem Bedarf an Cloud-Diensten sollten Sie die Anwender, aber auch die Geschäftsleitung für die Risiken sensibilisieren, die aus dem Einsatz ungeprüfter Cloud-Services für den Datenschutz erwachsen können. Zudem ist es sinnvoll, alle für einen bestimmten Nutzer verfügbaren offiziellen Anwendungen bekannt zu machen und im Idealfall über ein Self-Service-Portal bereitzustellen.

Wenn dann ein Anwender einen Bedarf hat, kann er nach freigegebenen Cloud-Apps suchen, ggf. einen zusätzlichen Wunsch über das interne Portal melden und nach erfolgter Prüfung durch die IT die neuen Cloud-Dienste sehen, die verwendet werden dürfen. Dadurch wird die Cloud-Nutzung wesentlich flexibler, aber auch kontrollierter.

Nutzen Sie am besten die Checkliste zur internen Vorgehensweise.


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, IT-Fachjournalist und IT-Analyst.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln