75 Prozent misstrauen Cloud-Anbietern in Bezug auf Datenschutz

75 Prozent der befragten deutschen Firmen gehen davon aus, dass Cloud-Provider sich nicht an die gesetzlichen Vorschriften für Datenschutz und Privatsphäre halten und damit Compliance-Richtlinien verletzen. Das ergab die Studie des Ponemon Institute »Data Breach: The Cloud Multiplier Effect in European Countries« [1]. 52 Prozent der 514 befragten IT- und IT-Security-Verantwortlichen glauben, dass sich die Wahrscheinlichkeit für Datenlücken durch den Einsatz von Cloud-Computing erhöht. Sie befürchten, dass sich der wirtschaftliche Schaden eines Datenlecks durch die Cloud nahezu verdreifacht. Dieser sogenannte »Cloud Multiplikator Effekt« variiert und ist vom jeweiligen Cloud-Szenario abhängig.

Cloud verschärft die wirtschaftlichen Auswirkungen von Datenlecks

Der Cloud Multiplikator Effekt verstärkt sich beispielsweise mit steigendem Datenaustausch zwischen Cloud-Anwendungen oder beim verstärkten Einsatz von mobilen Geräten, die sich mit der Cloud verbinden. Die Studie legt nah, dass Cloud-Anbieter künftig bei deutschen Unternehmen verstärkt um Vertrauen werben sollten. Ausgehend von 136 Euro pro betroffenen Datensatz, würde der Verlust oder Diebstahl von 100.000 Kundendatensätzen bei einem Unternehmen einen finanziellen Schaden von 13,6 Millionen Euro verursachen. Aufgrund ihres mangelnden Vertrauens rechnen die IT-Verantwortlichen bei starker Nutzung von Cloud-Services hier stattdessen mit einem Schaden von 39 Millionen Euro (Cloud Multiplikator Effekt).

Misstrauen herrscht in ganz Europa vor

Auch den Einsatz von Cloud-Storage sehen die Teilnehmer der Studie kritisch – auch auf europäischer Ebene. Befragte in ganz Europa rechnen damit, dass mit dem vermehrten Einsatz von Cloud Storage der wirtschaftliche Schaden beim Verlust oder Diebstahl von hochwertigen Informationen oder geistigem Eigentum von 1,30 auf 2,94 Millionen Euro steigt. Sie gehen davon aus, dass allein die Nutzung eines Cloud-Services bewirkt, dass sich eine Datenlücke gleichen Typs um 159 Prozent stärker auswirkt als wenn sich die Anwendung auf dem eigenen Rechner befindet. Skeptisch sind die befragten IT-Verantwortlichen auch wenn ein Cloud-Anbieter zu schnell wächst. Sie befürchten, dass hier die Sicherheitsmaßnahmen nicht entsprechend mitwachsen und sich dadurch die Wahrscheinlichkeit eines Datenlecks mit dem Verlust von 100.000 oder mehr Kundendatensätzen um 108 Prozent erhöht.

 

Die wichtigsten Erkenntnisse der Studie zeigen in Deutschland ein weit verbreitetes Misstrauen gegenüber Cloud-Anbietern:

  • 75 Prozent der Befragten gehen davon aus, dass sich Cloud-Provider nicht an Datenschutz-Gesetze und -Richtlinien halten.
  • 87 Prozent bezweifeln, dass ihr Cloud-Anbieter sie sofort informieren würde, wenn eine Datenlücke ihr geistiges Eigentum oder vertrauliche Geschäftsinformationen gefährdet.
  • 78 Prozent der Befragten glauben, dass ihre Cloud-Anbieter sie nicht sofort benachrichtigen, wenn über das Datenleck Kundendaten verloren oder gestohlen wurden.
  • 64 Prozent der IT-Profis denken, dass durch den Einsatz von Cloud-Services der Schutz vertraulicher Informationen sinkt
  • 57 Prozent sehen ein Problem darin, geschäftskritische Anwendungen zu sichern.

Doch entgegen aller Bedenken gegenüber der Cloud schätzt die Mehrheit der Befragten (54 Prozent) die Cloud als gleich sicher oder sicherer ein als ihre lokale IT. Dieser Widerspruch spricht aber eher für ein mangelndes Vertrauen in die eigene Fähigkeit, Daten lokal sicher zu halten, als über das Vertrauen in die Sicherheitsfunktionen von Cloud-Anbietern.

Sanjay Beri, Chief Executive Officer und Mitbegründer von Netskope: »Diese Studie bestätigt, dass einige Unternehmen mit Schatten-IT kämpfen. Sie brauchen mehr Transparenz darüber, welche Daten und Anwendungen in der Cloud genutzt werden, und wie sie Cloud-Anbieter beurteilen können. Die Cloud kann die Produktivität steigern, das darf aber nicht auf Kosten der Sicherheit gehen. Die Teilnehmer unserer Studie stimmen überein, dass die Cloud sicherer sein kann als die lokale IT. Dies ist aber nur möglich, wenn die Policies richtig umgesetzt werden.«

Größere Cloud-Skepsis in den USA

Interessant ist ein Vergleich dieser Studie mit einer früheren Umfrage von Netskope und dem Ponemon Institute zum Cloud Multiplier Effect in den USA. Demnach sehen sich die europäischen Unternehmen eher in der Lage, die Daten in der Cloud zu schützen. Während 51 Prozent der befragten Teilnehmer aus den USA denken, die Effektivität ihres Unternehmens bei der Sicherung von Daten und Anwendungen sei »gering«, sind es in Europa nur 25 Prozent (Deutschland 27 Prozent). Umgekehrt bewerten 52 Prozent der europäischen IT-Experten die Datenschutz-Fähigkeiten ihres Unternehmens als »hoch«, in den USA sind es nur 26 Prozent der Teilnehmer.

Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute: »Die Datenschutzgesetze und -Richtlinien werden vor allem in Europa sehr genau überprüft. Vermutlich ist das geringe Vertrauen in die Cloud-Anbieter auf diese verstärkte Kontrolle und die Angst vor dem Unbekannten zurückzuführen. Dieses Misstrauen lässt sich nur überwinden, wenn Provider ihre Sicherheitsmaßnahmen offen legen und diese Bedenken zerstreuen. Dann werden viel mehr Unternehmen die Cloud nutzen.«

Folgende Innovationen können für die Unternehmens-IT zu einer Verbesserung der Situation beitragen:

  • Dokumentation und Bewertung verhindert Schatten-IT, indem es alle in einem Unternehmen eingesetzten Cloud-Anwendungen identifiziert und in einem Cloud Confidence Index auf deren Risiken sowie deren Eignung für das Unternehmen überprüft. Basis für diese Bewertung sind mehr als 50 Kriterien, die von Business Continuity bis zur Verschlüsselung der gespeicherten Daten reichen.
  • Risiko-Dashboard hilft Unternehmen dabei ihre Risiken zu senken, indem es alle Faktoren aufschlüsselt, die zu diesen Risiken beitragen. Außerdem liefert es Mechanismen, mit denen sich diese Risiken reduzieren oder ausschalten lassen.
  • Tiefgehende Transparenz bietet Kontext-Informationen über den Einsatz jeder Cloud-Anwendung. Der Blick auf Daten, Aktivitäten, Benutzeridentität, Standort oder die Anwendung selbst bildet die Basis für die Umsetzung von Sicherheitsrichtlinien. Diese Sicherheitsaufklärung kann auf bestimmte Personen begrenzt oder anonym sein, um den europäischen Datenschutzrichtlinien zu entsprechen.
  • Mehr Richtlinien-Optionen: Durch die hohe Transparenz innerhalb der Plattform ist es möglich, für jede einzelne Anwendung sinnvolle Richtlinien festzulegen, die über einfache Regeln wie »Anwendung erlauben« oder »Anwendung blockieren« hinausgehen. So kann die IT Richtlinien definieren wie »Der Austausch von Inhalten ist nur innerhalb des Landes oder der Region erlaubt, in der der Inhalt erstellt wurde«.
  • Cloud Data Loss Prevention (DLP): Eine innovative Lösung muss für jede Cloud-Anwendung granulare DLP-Richtlinien zum Schutz vor Datenverlust durchsetzen können. Inhalte werden dazu unter anderen auf Basis ihres Kontextes und der Nutzeraktivität klassifiziert.
  • Aktive Verschlüsselung: Bei der kontextsensitiven Verschlüsselung muss den Unternehmen die Wahl geboten werden, das Management in der Cloud oder lokal durchzuführen.
  • Flexibler Einsatz: Ein Cloud-Security-Anbieter sollte alle Varianten der Cloud-Nutzung abdecken, sei es lokal vom Firmengelände aus, remote oder über eine mobile oder native App.

 

 

___________________________________

[1] Das Ponemon Institute befragte für die Studie 1.059 IT- und IT-Sicherheits-Experten in ganz Europa, darunter 514 Fachleute aus Deutschland.

Cloud-Security Anbieter Netskope gab die Studie anlässlich seines Starts auf dem europäischen Markt in Auftrag. Die Studie »Data Breach: The Cloud Multiplier Effect in European Countries« und eine Infografik sind auf der Website von Netskope kostenlos verfügbar.

 

Weitere Artikel zu