Ich habe hier im Blog ja den einen oder anderen Beitrag mit Warnungen vor einer Datenspeicherung in der Cloud veröffentlicht. Für Angestellte in Unternehmen kann das "mal schnell was in der Cloud speichern" dagegen extrem riskant sein bzw. bös ins Auge gehen und zu Abmahnungen oder gar zur Kündigung führen.
Anzeige
Da ich seit über 2 Jahrzehnten nicht mehr in der Industrie als Angestellter arbeite, hatte ich das Thema so gar nicht auf dem Radar, bin aber durch einen Artikel von Geraldine Osman, VP International Marketing, Connected Data, darauf aufmerksam geworden. Ich fand das Thema so interessant, dass ich es euch nicht vorenthalten wollte – zumal eine Reihe Arbeitsnehmer aus dem IT-Bereich hier im Blog mitlesen.
Die Kernbotschaft: Deutsche Unternehmen ziehen, laut dem mir vorliegenden Artikel, in Sachen Public Cloud die Zügel an: Abmahnungen und Kündigungen sind bei Nutzung trotz Verbots im Unternehmen mittlerweile eher die Regel. Und: Unternehmen müssen ihre Mitarbeiter zum einen besser über die Risiken der Public Cloud aufklären und zum anderen eigene Lösungen bieten, um die Nutzung der Public Cloud von vornherein zu vermeiden.
Herzlichen Glückwunsch, Sie sind entlassen!
Jeder, der in einer Büroumgebung arbeitet, kennt die Situation: Ein digitales Dokument muss dringend zum Kunden und die Deadline naht bedrohlich. Die Datei ist aber zu groß für eine E-Mail und derjenige, der den FTP-Server verwaltet ist natürlich gerade im Urlaub. Wer praktisch und lösungsorientiert denkt und sich mit moderner Technologie auskennt wird bei der Lösung des Problems unweigerlich auf cloud-basierte Angebote wie Dropbox, OneDrive etc. stoßen. Das Hochladen der Daten ist einfach und im Handumdrehen geschehen. Der Kunde hat seine Daten und die meisten Mitarbeiter würden jetzt normalerweise ein anerkennendes Schulterklopfen erwarten, anstatt einer Abmahnung oder sogar einer fristlosen Entlassung.
Was an sich unwahrscheinlich klingt, ist tatsächlich gar nicht so weit hergeholt. Laut dem mir vorliegenden Text verschärfen Unternehmen ihre Richtlinien was das Nutzen von Public-Cloud-Angeboten betrifft: Begründung: diese Dienste seien regelmäßig von ernsthaften Sicherheitslücken betroffen. Eine Studie deckte kürzlich auf, dass 15 Prozent deutscher Unternehmen Angestellte bei einem Verstoß gegen ihre stringenten Richtlinien gegen das Nutzen von Public-Cloud-Diensten sofort entlassen würden. Immerhin 61 Prozent würden zuerst eine schriftliche Abmahnung schicken.
Anzeige
Welche Risiken gibt es?
Es herrscht (bei 96 Prozent der IT-Entscheider) Einigkeit darüber, dass die Public Cloud bei der Datenspeicherung ein gewisses Risiko darstellt.
- Speicherort – Dropbox, OneDrive und andere Dienste nutzen über den Globus verstreute Rechenzentren, um die Daten physisch zu speichern. Der Nutzer weiß tatsächlich nicht, wo genau seine Daten gespeichert sind. Es ist sogar wahrscheinlich, dass die Daten mit anderen Rechenzentren irgendwo in der Welt synchronisiert sind. In regulierten Bereichen wie Finanzen, Versicherung, Gesundheit und Medizin kann die Speicherung von Daten auf Servern der Public Cloud sogar gegen Regularien verstoßen. In Regionen mit strengen Vorschriften, wie beispielsweise in der EU, bedeutet dies, dass die Public Cloud im Prinzip keine legale Möglichkeit darstellt, Daten zu speichern.
- Datensicherheit – Dropbox und andere Dienste haben, verglichen mit professionellen EFSS-Lösungen (Enterprise File Sync and Share), sehr limitierte Sicherheitsfunktionen. Es ist tatsächlich fast unmöglich zu wissen, ob von Dritten auf Daten in der Cloud zugegriffen wurde. Dies öffnet dem Diebstahl von Daten Tür und Tor.
- Datenverlust – Public-Cloud-Dienste haben schon öffentlich zugeben müssen, dass sie Daten ihrer Kunden verloren haben, ohne sie vorher abzusichern. Angestellte riskieren also den Verlust von Unternehmensdaten, ohne dass die IT sie wiederherstellen kann.
- Compliance – Viele Industrien haben Compliance-Vorschriften, die ihnen vorschreiben, dass der Zugriff auf bestimmte Daten begrenzt ist oder beim Transfer verschlüsselt sein muss. Dropbox beispielsweise ist mit solchen Möglichkeiten nicht ausgestattet und das Risiko, dass Angestellte unwissend gegen die Compliance-Richtlinien des Unternehmens verstoßen ist entsprechend hoch.
Als Resultat dieser Risiken haben IT-Abteilungen angefangen zu überwachen, ob die Angestellten des Unternehmens Public-Cloud-Dienste zum Teilen von Daten nutzen. Bereits 87 Prozent deutscher Unternehmen haben Software im Einsatz, die die Aktivitäten der Angestellten auf solchen Plattformen überwachen kann. So verlockend es also sein kann, solche Dienste als Angestellter zu nutzen – die Gefahr inflagranti ertappt zu werden, wird größer.
Die IT als Problembär?
Die "Consumerization der IT' war in den letzten Jahren ein sichtbarer Trend (bei Windows hält es ja noch an). Angestellte erwarten, dass ihre Arbeitsumgebung genauso einfach zu nutzen ist wie ihre persönliche. Dienste wie Dropbox, OneDrive, Google Drive etc. sind allgegenwärtig und sind auf so gut wie allen mobilen Geräten installiert. BOYD ist das Schlagwort, welches seit Jahren die Runde macht.
Aus Sicherheitsaspekten ein Desaster, wenn jeder Anwender seine eigene Suppe kocht. Die Schuld aber alleine bei den Angestellten zu suchen, die die potentiellen Risiken der Public Cloud ignorieren oder einfach nicht kennen, wäre allerdings zu einfach. Die Unternehmens-IT kann sehr wohl ebenfalls die Wurzel des Problems sein, wenn sie es den Angestellten nicht ermöglicht, ihre Aufgabe zu bewältigen, ohne gegen die Unternehmensrichtlinien verstoßen zu müssen.
Ein Großteil deutscher Unternehmen, immerhin 62 Prozent, haben noch nicht einmal Richtlinien für die Nutzung der Cloud in ihr Mitarbeiterhandbuch aufgenommen und nur 47 Prozent haben das Nutzen von Public-Cloud-Diensten komplett verboten. Da überrascht es nicht, wenn Angestellte diese Dienste noch sehr häufig nutzen – und dabei ihren Job – manchmal unwissend – aufs Spiel setzen.
Die Public Cloud-Dienste sind, was das Teilen von persönlichen Daten mit Freunden und Familie angeht, äußerst praktisch. Sie sind der Unternehmens-IT allerdings (berechtigt) ein Dorn im Auge, da Angestellte anfingen, dienstliche Dokumente über ihre persönliche Cloud zu teilen, ohne sich der Risiken vollauf bewusst zu sein. Anstatt ihre Angestellten zu entlassen oder Abmahnungen zu verschicken, sollte die IT die Mitarbeiter des Unternehmens besser warnen, was das Nutzen dieser Dienste betrifft, oder noch besser, eine eigene Lösung anbieten, die genauso einfach zu nutzen ist, aber von der IT überwacht werden kann. Aufklärung kann also helfen.
Kann die Private Cloud das Problem lösen?
EFSS-Lösungen, die Mitarbeitern die Möglichkeiten geben würden auf Daten zuzugreifen und diese zu teilen, ohne gegen Richtlinien zu verstoßen, sind zwar verfügbar. Diese Lösungen sind jedoch schwer einzubinden, komplex und obendrein noch teuer. Für KMUs mit kleineren Budgets sind sie meist keine Lösung.
Eine Alternative zur unsicheren Public Cloud und komplexen, teuren EFSS-Lösungen stellen Private-Cloud-Lösungen dar, die die gleichen Funktionen wie die Public-Cloud bieten, allerdings mit viel mehr Sicherheit. Einer der wichtigsten Vorteile zur Public Cloud: Die IT-Abteilung weiß genau, wo die Daten gespeichert sind – im eigenen Rechenzentrum hinter der eigenen Firewall.
Dropbox und Co. sind gut genug, um persönliche Daten zu versenden, für Unternehmen bieten sie jedoch nicht genug Sicherheit. Angestellte, die die Einfachheit solcher Dienste gewohnt sind, wollen auch im Job möglichst einfach Daten versenden und Unternehmen tun gut daran, Ihnen diesen Gefallen zu tun und sichere Alternativen zu bieten.
Das Verhalten von Angestellten kann sicher nicht über Nacht geändert werden. Der einfachste Weg Angestellte davon abzuhalten, unsichere Dienste zu nutzen ist, Ihnen eine sichere und einfache Alternative anzubieten. Private Cloud-Lösungen sind eine solche Alternative und verhindern damit für das Unternehmen, dass Daten aus Versehen in falsche Hände geraten. Und Angestellte kommen erst gar nicht in Gefahr, ihren Job zu verlieren.
Und wie ist das bei euch geregelt?
Bleibt mir abschließend dir Frage an die Angestellten unter den Blog-Lesern: Gibt es bei euch entsprechende Unternehmensrichtlinien – oder wird noch alles "frei fliegend" geregelt und jeder nutzt die Public Cloud munter nach eigenem Gusto?
Ähnliche Artikel:
Apple-Statement zum iCloud-Hack
Microsoft, Google, der Datenschutz und die Cloud
Anzeige
Mh, naja, ob die Daten per unverschlüsselter Mail versende oder bei z. B. Dropbox ablege, so groß ist der Unterschied nicht ;-)
Aber natürlich ist das ein wichtiges Thema.
Also ich finde das Extrem Wichtig wo Daten gespeichert werden, sofern "Safe Harbor" nicht sicher geklärt ist haben Firmen Daten auch nichts in der öffentlichen Privaten Cloud zu suchen.
Wenn jedoch der Arbeitgeber keine Möglichkeiten zur Weitergabe zur Verfügung stellt finde ich das auch sehr bedenklich, so digital sind wir dann eben doch noch nicht!
Wenn die IT aufklärt oder warnt, sind es doch nur wieder die Spassbremsen, die das normale Arbeiten erschweren oder unmöglich machen wollen. Oft genug gehört. Im übrigen mahnt die IT auch nicht ab oder entlässt, so viel Entscheidungshoheit würde ein Management dieser nie einräumen. Meistens befindet sie sich heute ohnehin in irgendeinem Outsourcingprozess.
Unterscheide: Consumer Cloud und Commercial Cloud. Von OneDrive gibt es zwei Versionen, nicht ohne Grund. Beides ist Public Cloud, aber in ODfB weiß man eben schon wo es gespeichert wird. Und ab nächstem Jahr eben auch in Deutschland wenn man möchte.
Hier sollte man darauf hinweisen, aber das hat Günther auch sicher so gewollt oder?:)
Ganz ehrlich – ich verstehe das Thema nicht. Der Angestellte versendet Daten über seine private Cloud? Ein Firmen-Dropbox-Account wird es ja wohl nicht geben. Welcher Angestellte kommt auf solche Ideen?