Schatten-IT in Zeiten von SaaS (Software as a Service)
Die Bereitstellung und Nutzung von Anwendungen über das Internet bietet viele Vorteile. Zum einen können Fehlerbehebungen zentral vorgenommen werden, indem Patches eingespielt werden. Zum anderen ist die Lizenzverwaltung einfacher, da die Software-Nutzung direkt über den Zugang reguliert werden kann. Diese Art von Dienstleistungen wird als Software as a Service (SaaS) bezeichnet. Dabei sind prominente Beispiele Office 365, die Adobe Creative Suite oder die Google-Produktreihe.
Heutzutage kann man mit Plattformen wie Azure, Amazon Cloud oder Google kostengünstig SaaS-Lösungen mieten, die auch leicht skalierbar sind. Nicht nur Anwendungen, sondern auch Datenbanken können einfach gebucht werden. Bei der Nutzung solcher Dienste sollten Sie jedoch immer die IT-Sicherheit berücksichtigen. Wer hat Zugriff auf Ihre Daten? Wie ist die Datenübertragung geschützt? Sind die Daten verschlüsselt und wo werden sie gespeichert? Dies kann nicht nur die Datenverarbeitung innerhalb Ihrer Organisation problematisch machen, sondern auch gegen EU-weite Compliance-Richtlinien oder das deutsche Recht verstoßen. Es ist auch oft schwierig zu kontrollieren, wenn verschiedene Abteilungen solche Ressourcen buchen oder nutzen. In solchen Fällen können Firewall-Regeln helfen, den Zugriff auf spezielle Ressourcen zu kontrollieren. Um den Bedarf an solchen Ressourcen intern festzustellen, können Datenschutzfolgeabschätzungen und die Erstellung von Richtlinien für ihre Nutzung zur Entwicklung und Durchsetzung einer Sicherheitsstrategie beitragen.
Eine noch schwierigere Situation tritt ein, wenn Daten unspezifisch an Software im Internet zur Verarbeitung gesendet werden. Dies ist oft der Fall, wenn vorhandene Software nicht gut genug ist, um bestimmte Prozesse abzubilden, oder wenn die erforderliche Software für bestimmte Prozesse im Unternehmensportfolio fehlt. Beispiele für solche Software sind PDF-Bearbeitungslösungen oder Übersetzungstools. Bei solchen datenmanipulierenden Diensten gibt der Nutzer die Kontrolle über die Daten an den Serviceanbieter ab. Zunächst stellt sich die Frage nach der Sicherheit der Datenübertragung: Wie sicher ist sie? Werden die neuesten Sicherheitsstandards eingehalten und wo endet die Verschlüsselung? Danach kommt die Frage der Datenverarbeitung: Wo werden die Daten verarbeitet? Werden sie gespeichert und werden temporäre Daten sofort gelöscht? Hier gibt der Nutzer die Kontrolle über die Daten ab, behält jedoch die Verantwortung dafür. Der Nutzer vertraut darauf, dass der Anbieter die übermittelten Daten vertraulich behandelt und nach der Nutzung des Services löscht.
Die Nutzung solcher Services kann nur begrenzt durch technische Maßnahmen kontrolliert werden. Ein anderer Ansatz besteht darin, den Gebrauch solcher Services zu regulieren. Benutzer müssen sich der Risiken, die mit der Nutzung solcher Services verbunden sind, bewusst sein, und es ist erforderlich, die Daten zu regulieren, die verarbeitet werden dürfen. Falls Daten eine Klassifizierung haben, die ihre Verarbeitung durch solche Services verhindert, sollte es angemessene Lösungen geben, um diese Daten dennoch zu verarbeiten. Darüber hinaus sollten den Mitarbeitern die Klassifizierungsregeln für Daten bekannt sein und sie sollten entsprechend der Klassifizierung über die Möglichkeiten der Verarbeitung und Übertragung von Daten informiert werden. Wenn keine geeignete Software für eine Aufgabe zur Verfügung steht, sollte es die Möglichkeit geben, diese bestmöglich zu lösen.
Dies kann durch folgende Maßnahmen erreicht werden:
Bei allen drei Punkten ist es wichtig, dass die Verfahren bekannt sind, die Prozesse in angemessener Zeit ablaufen und dass beteiligte Personen in den Prozess eingebunden werden.