Wenn Unternehmen ihren Mitarbeitern die benötigten Daten nicht schnell und unkompliziert zur Verfügung stellen können, greift die Belegschaft zu Selbsthilfe. Das Ergebnis sind Unmengen von nicht kontrollierten, redundanten Kopien.
„Die Natur findet einen Weg“ ist einer der zentralen Sätze in Steven Spielbergs „Jurassic Park“. Ebenso gut könnte man sagen: Die Anwender finden einen Weg. Und zwar dann, wenn es darum geht, für die Arbeit benötigte Daten verfügbar zu halten. Das ist nur zu verständlich, wenn man bedenkt, dass viele Projekte unter einem enormen Zeitdruck stehen und die Time to Market für neue Produkte immer kürzer wird. Auf der anderen Seite entstehen dadurch enorme Sicherheitslücken, was umso erschreckender ist, da häufig unternehmenskritische Daten etwa aus der Entwicklungsabteilung betroffen sind. Allerdings können auch Files, die scheinbar weniger wichtige Informationen enthalten, für Hacker hochinteressant sein, beispielsweise Telefonverzeichnisse oder Urlaubslisten.
Mitarbeiter und Fachabteilungen betreiben Schatten-IT
Bei der Nutzung nicht genehmigter Speicherorte sind die Anwender ungemein findig. Die Palette reicht von Schreibtisch-PCs über private USB-Sticks und -Festplatten oder Home-Verzeichnisse auf den Servern des Unternehmens bis hin zu Public-Cloud-Diensten wie Dropbox. Aber auch Datenbanken wie Microsoft Exchange werden teilweise als Ablage missbraucht.
Häufig geht diese Schatten-IT von den Fachabteilungen aus, die auf diese Weise versuchen, hinter dem Rücken der IT-Abteilung spezifische Probleme zu lösen. Dabei ist das unkontrollierte Speichern von Daten häufig nicht die einzige Eigenmächtigkeit. Hinzu kommt in den meisten Fällen noch die Beschaffung auf eigene Faust: von Tools oder Cloud-basierten Services, von Apps, Social-Media-Lösungen oder sogar selbst programmierten Anwendungen.
Dateien liegen überall – und das gleich mehrfach
In einer neuen Studie mit dem Titel „Common Gaps in Data Control: Identifying, Quantifying, and Solving Them Using Best Practices“ untersuchte IDC im Auftrag von Actifio, einem Spezialisten für die Virtualisierung von Daten, die Situation bei den physischen Kopien von Daten. Befragt wurden 429 Unternehmen ab 1000 Mitarbeitern aus verschiedenen Branchen. Es ergab sich, dass die Befragten durchschnittlich 13 Kopien ihrer Daten herstellen und 12,95 Datenbanken in Betrieb haben, in denen diese Kopien oft redundant abgelegt sind. Bezieht man in die Rechnung zudem mit ein, dass von jeder dieser Datenbanken mehrere Backups existieren – laut Umfrage sind es im Schnitt 7,4 Sicherungskopien – so kommt man leicht auf eine dreistellige Zahl von physischen Kopien jeder Datei. Hinzu kommen noch die unkontrollierten Dubletten der Schatten-IT.
Das lässt zum einen die Storage-Kosten in die Höhe schnellen, erheblich beunruhigender ist jedoch, dass jede dieser physischen Kopien ein potenzielles Angriffsziel für Hacker ist.
Schnelle Bereitstellung: Von der Schatten-IT lernen
Was können Unternehmen tun, um ihre Daten wieder unter Kontrolle zu bringen? Wenn man diese Frage beantworten will, ist es zunächst wichtig zu verstehen, dass sich Schatten-IT niemals komplett verhindern lässt. Die IT kann nie so schnell und umfassend auf die Bedürfnisse der Anwender und Fachabteilungen reagieren, wie es erforderlich wäre; daher werden immer wieder ungenehmigte Zwischenlösungen entstehen. Aber: Schatten-IT lässt sich auch nutzen, um die Brüche zwischen den Anforderungen der Mitarbeiter und dem IT-Angebot zu analysieren und gemeinsame Lösungen zu finden. Schatten-IT ist ein tadelloser Indikator, der anzeigt, wo es zeitkritische Bedarfslücken zwischen der IT und den Abteilungen gibt.
Teil der Lösung muss es zum einen sein, dass die Fachabteilungen gewisse Freiheiten bei der Wahl ihrer Tools und Lösungen bekommen – etwa zur Datenablage. Allerdings muss es dafür klar definierte Regeln geben. Unternehmenskritische Daten und Prozesse müssen in der alleinigen Obhut der IT-Abteilung bleiben. Zudem müssen die Fachabteilungen Compliance-Regeln einhalten und Security-Richtlinien beachten. Hier sind eventuell entsprechende Schulungen oder eine Aufklärung der Mitarbeiter erforderlich.
Bring Your Own Device hat ausgedient
Die Verwendung privater Geräte im Unternehmen sollte untersagt werden, seien es USB-Sticks, Festplatten, Smartphones, Tablets oder Notebooks. Das einige Jahre sehr populäre BYOD-Konzept (Bring Your Own Device) hat sich als hochgradig riskant für die Datensicherheit herausgestellt. Die meisten Unternehmen sind daher mittlerweile zu CYOD (Choose Your Own Device) übergegangen. Bei diesem Konzept stellen die Firmen ihren Mitarbeitern die benötigten Geräte zur Verfügung, lassen ihnen aber die Wahl zwischen mehreren Modellen.
Außerdem muss die Zahl der physischen Kopien von Dateien verringert werden. Dazu empfiehlt es sich, dass der CIO im Gespräch mit den Fachabteilungen zunächst nach den Ursachen für die Kopienflut sucht. Anschließend kann man gemeinsam eine Lösung erarbeiten, die das Bedürfnis der Anwender nach schnell verfügbaren Daten ebenso berücksichtigt wie die Erfordernisse der Datensicherheit und eines effizienten Speicherkonzepts. (rf)