Netskope, nach eigener Darstellung der führende Anbieter im Bereich Cloud-Security, stellt den neuen Cloud-Report über die Nutzung von Public-Cloud-Anwendungen in Unternehmen vor. Da das Inkrafttreten der neuen EU-Datenschutz-Grundverordnung (DS-GVO) im Mai 2018 immer näher rückt, lag ein Schwerpunkt der aktuellen Ausgabe auf der DS-GVO-Konformität der genutzten Cloud-Anwendungen. Die Ergebnisse zeigen, dass fast 75 Prozent der Anwendungen noch nicht über die notwendigen Schlüsselfunktionen verfügen, um die Vorgaben der DS-GVO zu erfüllen. Der Report deckt weitere relevante Trends auf.
Die Bedrohungslage spitzt sich weiter zu. Außerdem setzen die Organisationen zunehmend auf Collaboration-Apps, die im Kontext der DS-GVO besondere Herausforderungen bereithalten. Der aktuelle Report zeigt einen leichten Rückgang der durchschnittlich in Unternehmen genutzten Anzahl der Cloud-Anwendungen. Die Ergebnisse des Reports basieren auf aggregierten, anonymisierten Daten der Netskope Active Platform, mit deren Hilfe Unternehmen jede Cloud-Anwendung erkennen und Nutzer-Verhalten granular steuern und dadurch Datenverlust vorbeugen können. Für den Cloud-Report wurde das Verhalten von Millionen von globalen Nutzern vom 1. April bis zum 30. Juni 2017 ausgewertet.
Die Resultate deuten darauf hin, dass die Firmen ihre Cloud-Anwendungen zunehmend standardisieren und die Nutzer weg von der Schatten-IT und nicht freigegebenen Applikationen hin zu den standardisierten Cloud-Applikationen coachen. Durchschnittlich nutzt ein Unternehmen aktuell 1.022 Cloud-Anwendungen, im Vergleich zu 1.053 im vorangegangenen Quartal.
Das ist zwar ein Schritt in die richtige Richtung, reicht allein aber nicht aus: Nur 24,6 Prozent der genutzten Cloud-Anwendungen erhielten eine „gute“ Bewertung bezüglich ihrer DS-GVO-Konformität. Hierzu wurden Aspekte wie Standort der Datenspeicherung, das Niveau der Verschlüsselung und Datenverarbeitungsverträge herangezogen.
Die DS-GVO verlangt von Unternehmen, dass sie Unternehmensdaten besser schützen. Als häufigste Bedrohung identifizierte das Netskope Threat Labs Team Backdoors in 27,4 Prozent der erkannten Fälle. Dem folgten Ransomware mit 8,6 Prozent, Adware mit 8,1 Prozent, JavaScript- und Mac-Malware mit jeweils 7,2 Prozent, Microsoft Office-Makros mit 5,9 Prozent und PDF-Exploits mit 2,7 Prozent.
Die Hälfte der Top-20-Liste der meistgenutzten Anwendungen sind Cloud-Storage- und Collaboration-Apps. Unternehmen sollten daher Daten, die in diesen Anwendungen verarbeitet werden, besonders im Auge behalten, zumal sich diese Cloud-Anwendungen häufig mit anderen Applikationen verbinden (z. B. Cloud-Storage für Salesforce oder DocuSign). Ein umfassendes Cloud-Security-Programm sollte dementsprechend die Steuerung der Kommunikation und Datenverarbeitung zwischen Cloud-Anwendungen besonders berücksichtigen.
Collaboration-Apps verzeichneten eine rasante Zunahme, Produktionsanwendungen wurden seltener genutzt
„Die Cloud-Nutzung ist heute unvermeidlich und bringt zweifellos große Vorteile für Unternehmen in allen Regionen und Branchen mit sich. Allerdings sind damit auch neue, komplexe Sicherheits-Herausforderungen und auch Vorschriften für Unternehmen verbunden, wobei die DS-GVO zweifellos eine der komplexeren ist“, sagt Sanjay Beri, CEO und Gründer von Netskope. „Kurz vor Ablauf der Compliance-Frist müssen Unternehmen zwingend vollständige Transparenz und Echtzeitkontrolle ihrer Cloud-Nutzung und -Aktivitäten haben und diese zentralisiert und durchgängig über alle Cloud-Anwendungen hinweg umsetzen. Nur so wird deutlich, wie personenbezogene Daten geschützt und DS-GVO-konform verarbeitet werden können.“
Bei den App-Kategorien sind HR-Services am beliebtesten – und enthalten am ehesten sensible und personenbezogene Daten gemäß der Definition der DS-GVO. Collaboration-Apps verzeichneten eine rasante Zunahme: Im Durchschnitt nutzen Unternehmen aktuell 85, gegenüber 71 im Vorquartal. Im Gegensatz dazu sank die Zahl der durchschnittlich genutzten Produktivitätsanwendungen. Dies weist auf veränderte Arbeitsgewohnheiten und Präferenzen der Mitarbeiter hin, die Collaboration- und Kommunikations-Tools gegenüber traditionellen Produktivitäts-Tools bevorzugen.
Alarm schlägt auch der Bitkom in Berlin. Nach seiner Darstellung drohen der großen Mehrheit der Unternehmen in wenigen Monaten Millionen-Bußgelder. Am 25. Mai 2018 müssen nach einer zweijährigen Übergangsfrist die Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) umgesetzt sein. Doch nur eine Minderheit wird diesen Termin einhalten können.
Selbst von den Unternehmen, die sich aktuell mit der DS-GVO beschäftigen, gehen nur 19 Prozent davon aus, dass sie die Vorgaben der Verordnung zu diesem Datum vollständig umgesetzt haben. Weitere 20 Prozent erwarten, dass sie die Anforderungen zum größten Teil erfüllen werden. Mehr als jedes zweite dieser Unternehmen (55 Prozent) sagt, in acht Monaten werde die Umsetzung nur teilweise erfolgt sein.„Die Zeit drängt, um die Vorgaben der Datenschutz-Grundverordnung umzusetzen. Unternehmen, die bis jetzt abgewartet haben, müssen das Thema schnellstmöglich aufarbeiten. Wer den Kopf in den Sand steckt, verstößt demnächst gegen geltendes Recht und riskiert empfindliche Bußgelder zu Lasten seines Unternehmens“, sagt Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Bitkom.
Selbst grundlegende organisatorische Voraussetzungen für den Datenschutz im Unternehmen fehlen häufig. Über 40 Prozent der Betriebe verfügen über kein sogenanntes Verfahrensverzeichnis, in dem die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentiert sind. „Ein Verfahrensverzeichnis ist heute schon Pflicht, künftig aber noch dringender erforderlich. Die neue Verordnung verlangt von den Unternehmen den Nachweis der rechtskonformen Datenverarbeitung. Eine solche Datenschutz-Dokumentation wird in Streitfällen eine wichtige Rolle spielen“, erklärt Dehmel.
„Das Gesetz ist an vielen Stellen vage – konkrete Vorgaben wären hilfreich“
Die Nutzung personenbezogener Daten ist für viele Unternehmen von zentraler Bedeutung. Jedes Dritte (32 Prozent) setzt sie zur Verbesserung von Produkten und Dienstleistungen ein. Und 4 von 10 Unternehmen (42 Prozent) geben laut einer Bitkom-Umfrage sogar an, dass die Nutzung personenbezogener Daten die Grundlage des eigenen Geschäftsmodells ist. Angesichts der Bedeutung von personenbezogenen Daten für die Geschäftstätigkeit der Unternehmen ist es schwer nachzuvollziehen, warum so viele die Übergangsfrist bei der Datenschutz-Grundverordnung bislang untätig verstreichen ließen, meint man in Berlin.
Die Unternehmen, die sich mit der DS-GVO beschäftigt haben oder dies noch tun wollen, nennen als größte Herausforderungen bei der Umsetzung den schwer abzuschätzenden Aufwand (52 Prozent), Rechtsunsicherheit (43 Prozent) und mangelnde praktische Umsetzungshilfen (32 Prozent). Entsprechend wünschen sich 28 Prozent Auslegungshilfen der Verordnung durch die EU-Kommission, 27 Prozent hätten gerne Praxisleitfäden und 16 Prozent Handreichungen von den Aufsichtsbehörden. „Das Gesetz ist an vielen Stellen vage und den Unternehmen fehlen Vorgaben, wie sie damit umgehen sollen. Konkrete Vorgaben wären hilfreich“, ergänzt Dehmel.
Für den Einstieg in das Thema hat der Bitkom „Fragen und Antworten“ (FAQs) zur Datenschutz-Grundverordnung veröffentlicht, die einen ersten Überblick über die Veränderungen zur heutigen Rechtslage geben. Außerdem hat der Bitkom vier Praxisleitfäden erstellt, wie verschiedene Verpflichtungen aus der Verordnung im Unternehmen umgesetzt werden können: „Datenübermittlung in Drittstaaten“, „Verarbeitungsverzeichnis“, „Risk Assessment und Datenschutzfolgenschutzabschätzung“ sowie die „Mustervertragsanlage zur Auftragsverarbeitung“. Alle Informationen stehen auf der Bitkom-Website zum kostenlosen Download bereit: www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
