Gratis
22. Mai 2018 - Technisch-organisatorische Maßnahmen

DSGVO: Schatten-IT erschwert Compliance

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Betriebe, betroffenen Personen umfassend Auskunft über gespeicherte personenbezogene Daten zu erteilen. Bei Kundendaten muss es wegen der Datenportabilität möglich sein, diese zu einem anderen Anbieter umziehen zu lassen. Viele Firmen legen sich dabei aber selbst Steine in den Weg. Und zwar in Form ihrer Schatten-IT.

Schatten-IT Durch unautorisierte Nutzung von Cloud-Diensten entsteht schnell eine Schatten-IT. Für Datenschutzbeauftragte gilt es, diese schon im Keim zu ersticken (Bild: supershabashnyi / iStock / Thinkstock)

Die Unternehmensberatung AXXCON hat für eine aktuelle Studie rund 200 Geschäftsführer, CIOs, IT-Leiter und Sicherheitsbeauftragte aus Unternehmen mit mindestens 500 Mitarbeitern befragt.

Die Hälfte der Befragten geht davon aus, dass ihre Mitarbeiter neben den zentral eingekauften und administrierten Cloud-Services ebenfalls dezentral beschaffte Dienste einsetzen. Und das ohne das Wissen der IT- oder Einkaufsabteilung.

Schatten-IT schwächt Unternehmen

Für die Beschäftigten in Unternehmen sind Cloud-Angebote im Netz verlockend. Bei vielen Diensten ist es möglich, sie einfach per Kreditkarte zu buchen und binnen Minuten darauf zuzugreifen.

Das geht deutlich schneller, als sich erst an die Einkaufsabteilung zu wenden oder ein Genehmigungsverfahren zu durchlaufen.

Durch den Einsatz solcher Angebote bildet sich eine „Schatten-IT“. Sie erschwert es den für die Sicherheit verantwortlichen Managern oder macht es ihnen unmöglich, dafür zu sorgen, die rechtlichen Anforderungen an das Unternehmen einzuhalten.

Von den befragten IT-Managern geht sogar jeder Dritte davon aus, dass ihre Firma mehr als zehn solcher nicht autorisierter Cloud-Dienste einsetzt.

Es droht Gefahr von mehreren Seiten

Für die Unternehmen ist der Einsatz solcher Lösungen gleich in mehrfacher Hinsicht gefährlich:

  • Einerseits lässt sich damit die Compliance zur DSGVO nicht vollumfänglich erreichen. Denn die IT-Verantwortlichen können nicht ausschließen, dass die Systeme personenbezogene Daten verarbeiten.
  • Andererseits liegen keine Informationen über den Serverstandort vor. Die Daten mit Personenbezug werden also möglicherweise in das Ausland transferiert.
  • Tauchen Dienste nicht in Verarbeitungsverzeichnissen auf, erschwert dies zudem eine lückenlose Zusammenstellung der personenbezogenen Informationen eines Betroffenen.

Datenverluste und Sicherheitsvorfälle

Ebenfalls ein wichtiger Punkt: Sie können Datenverluste beim nicht offiziell beauftragten Dienstleister nicht ausschließen oder keine Maßnahmen dagegen ergreifen.

Sicherheitsvorfälle infolge dezentral beschaffter Cloud-Anwendungen meldeten im Rahmen der Studie 17 Prozent der befragten Unternehmen.

In fast 30 Prozent der in der Befragung berücksichtigten Firmen fehlt eine Betriebsvereinbarung zum Einsatz von Cloud-Diensten.

Deswegen ist IT-Verantwortlichen und Datenschutzbeauftragten zu raten, diesen Aspekt im Betrieb zu prüfen und etwas dagegen zu tun, dass sich eine Schatten-IT bildet.

Stephan Lamprecht