Wider das anarchistische IT-Outsourcing! Webdienste und Informationssicherheit

Webdienste wie Dropbox, Doodle, YouSendIt, Facebook oder Twitter, umgangssprach-lich auch Web 2.0-Dienste oder Cloud-Dienste genannt, werden auch für betriebliche Zwecke durch Mitarbeiter eines Unternehmens eingesetzt. Die IT-Abteilungen der jeweiligen Unternehmen werden jedoch nur selten über die Nutzung und die verwendeten Endgeräte informiert, geschweige denn können sie Anbieter und Nutzung steuern oder unter dem Blickwinkel des Sicherheitsmanagements überwachen. Aus ihrer Sicht stellt sich diese Form der mitarbeiterinitiierten Auslagerung als anarchistisches Outsourcing bzw. als Teil einer unerwünschten "Schatten-IT" dar, vorbei an allen betrieblichen Einheiten wie der IT-Administration, dem Einkauf oder auch dem Betriebs- und Personalrat. Häufig bleibt ein Ohnmachtsgefühl, wenn betriebliche Infrastruktur und Aufgaben durch Mitarbeiter auf Webdienste ganz oder teilweise verlagert werden. Der folgende Beitrag untersucht die Risiken einer solch unkontrollierten Nutzung bezüglich der Informationssicherheit und der Erfüllung rechtlicher Anforderungen und zeigt Wege auf, die Risiken durch bestimmte Maßnahmen zu mindern. Daneben enthält der Beitrag Ausführungen zum Aufbau eigener Alternativdienste, zu einem möglichen Prüfungsprozess und stellt zudem einen exemplarischen Quickcheck zur Verfügung, mit dem wichtige Punkte bei der Prüfung eines Webdienstes abgefragt werden können. Der Beitrag ist im Rahmen von Untersuchungen und Vorträgen für die Fraunhofer-Gesellschaft e.V. und ihre IT-Sicherheitsbeauftragten entstanden. Einige Ausführungen des Beitrags gelten daher in besonderer Weise für Unternehmen, die in einem wissenschaftlichen Umfeld tätig sind, grundsätzlich aber auch allgemein für alle Unternehmen.