Ponemon/Thales: Die Hälfte aller Firmendaten landen in der Cloud
Unternehmen haben Schwierigkeiten, die Komplexität der Verwaltung des Datenschutzes zu reduzieren (Grafik: Thales/Ponemon).Demnach wächst die in der Cloud gespeicherte Datenkapazität von Unternehmen, während die Sicherheitsprozesse und -techniken nicht Schritt halten. So lautet das kurze Resümee einer Umfrage des Ponemon Institute zur Cloud-Sicherheit, im Auftrag der Thales Group, aktiv in der Militär-, Luft- und Raumfahrt- sowie in Sicherheitstechnik. Der 2019 Thales Global Cloud Security-Studie zufolge werden 48 Prozent aller Unternehmensdaten in der Cloud gespeichert. Noch vor drei Jahren lag der Wert bei 35 Prozent, so die Studie von Thales/Ponemon. Aber nur ein Drittel (32%) der Unternehmen nennen dabei Security als oberste Priorität.
Sicherheits- und Compliance-Risiken
Amazon Web Services (AWS), Microsoft Azure und IBM sind die drei verbreitetsten Cloud-Dienste. Allerdings nutzen fast die Hälfte der Unternehmen (48%) mehrere Anbieter. Die Studie ergab, dass Unternehmen im Durchschnitt drei verschiedene Cloud-Service-Provider nutzen und über ein Viertel (28%) vier oder mehr.
Dass die Speicherung sensibler Daten in der Cloud ein Sicherheitsrisiko darstellt, ist zumindest einem Teil der IT-Profis bewusst. 46 Prozent geben an, dass die Speicherung von Kundendaten in der Cloud ein höheres Sicherheitsrisiko darstellt. Über die Hälfte (56%) gab außerdem an, dass dies ein Compliance-Risiko darstellt.
48 Prozent der befragten Firmen speichern Daten in der Cloud. Vor drei Jahren waren es noch 33 Prozent (Grafik: Thales/Ponemon).
Prozentual geringer gesehen wird der Handlungsbedarf: 31 Prozent sehen keine Selbstverantwortung für die Datensicherheit in der Cloud, 35 Prozent sehen die Verantwortung primär beim Provider. Und obwohl Unternehmen die Verantwortung auf Cloud-Anbieter verlagern, geben nur 23 Prozent an, dass Sicherheit ein Faktor bei der Auswahl dieser Anbieter ist.
»Unternehmen, die zunehmend mehrere Cloud-Plattformen und -Anbieter einsetzen, müssen unbedingt wissen, welche Daten wo gespeichert werden«, kommentiert Larry Ponemon, Gründer des gleichnamigen Instituts. »Wenn sie diese Information nicht haben, ist es im Wesentlichen unmöglich, die vertraulichsten Daten zu schützen, wodurch diese Organisationen letztendlich einem Risiko ausgesetzt sind. Wir möchten alle Unternehmen dazu ermutigen, die Verantwortung dafür zu übernehmen, wo sich ihre Daten befinden, um ihre Sicherheit zu gewährleisten.«
Deutsche Nutzer sind bei der Verschlüsselung vorn
Der Grad der Datenverschlüsselung wächst, so die Studie. Allerdings verwenden etwa die Hälfte (51%) der Firmen keine Verschlüsselung oder Tokenisierung, um vertrauliche Daten in der Cloud zu schützen. Die Umfrage deckt auch regionale Unterschiede in Bezug auf die Datensicherheit auf, wobei deutsche Unternehmen mit 66 Prozent am häufigsten, Encryption-Techniken einsetzen.
Das allein ist aber noch kein ausreichender Schutz: 44 Prozent der Unternehmen stellt die Entschlüsselung bzw. den Zugang zu den verschlüsselten Daten dem Cloud-Anbieter direkt zur Verfügung. 53 Prozent verwalten diese Decryption-Schlüssel selbst, obwohl 78 Prozent angaben, dass es wichtig ist, dass ihre Organisation die Kontrolle über die Schlüssel behält.
Über die Hälfte der Unternehmen (54%) ist der Meinung, dass Cloud-Speicher den Schutz sensibler Daten erschweren, verglichen mit 49 Prozent im Vorjahr. Mehr als 70 Prozent glauben, dass Daten in einer Cloud-Umgebung aufgrund der Komplexität der Verwaltung von Datenschutz- und Datenschutzbestimmungen schwerer zu schützen sind. Zwei Drittel (67%) halten herkömmliche Sicherheitsmethoden ungeeignet für Daten in der Cloud.
Tina Stewart, Vizepräsidentin der Marktstrategie für Cloud-Sicherheit und Lizenzierungsaktivitäten bei Thales: »Die Studie zeigt, dass Unternehmen heutzutage die Chancen nutzen, die neue Cloud-Optionen bieten, die Datensicherheit jedoch nicht angemessen berücksichtigen. Angesichts der Tatsache, dass die Verantwortung auf Cloud-Anbieter verlagert wird, ist es überraschend, dass die Sicherheit bei der Auswahl nicht im Vordergrund steht.« Die Reputation eines Unternehmens ist im Falle eines Datenverstoßes von entscheidender Bedeutung. Daher sei es laut Stewart wichtig, dass die internen Teams ihre Sicherheitslage genauestens überwachen und die Kontrolle über die Verschlüsselung behalten.