10/11/2020

Sicherheitsrisiko: Schatten-IT

Die IT-Abteilung kann nur das sicher betreiben, was sie auch kennt. Wenn es mehr Schatten als Licht gibt, wächst auch die Gefahr für die IT-Sicherheit.
Von
Michael Döhmen
IT-Security Enthusiast
und

Corona. Die zweite Welle ist da und wieder sehen sich Unternehmen damit konfrontiert Mitarbeiter ins Home-Office zu verlagern. Was bedeutet das in Bezug auf die IT? Einsatz vieler mobiler Endgeräte, Einsatz von Cloud-Lösungen und eine Zunahme der Schatten-IT. Schatten-IT? Sollten Sie das noch nie gehört haben, helfen die nächsten Abschnitte für dieses Thema zu sensibilisieren.

Die IT-Abteilung kann nur das sicher betreiben, was sie auch kennt.

Das klingt logisch, ist aber gar nicht so trivial. Laut Gartner, wird wohl knapp die Hälfte aller Unternehmen nachhaltig auf eine Home-Office Lösung umsteigen. Mit dem plötzlichen Umstieg waren und sind viele Unternehmen überfordert, da es weder Prozesse noch Infrastruktur für diese Art der Arbeit gibt oder gab.

Das bedeutet z. B. dass User zwar ein Notebook erhalten haben, aber zum Teil frei über Software, Webapplikationen und Anwendungen entscheiden konnten. Diese Anwendungen sind entsprechend für die IT-Abteilung unsichtbar. Ein konkretes Anwendungsbeispiel:  

Ein Mitarbeiter möchte einem weiteren Mitarbeiter eine Datei zukommen lassen. Dieser Anhang ist für eine E-Mail zu groß, sodass er eine kostenlose Plattform wie z. B. wetransfer.com oder DropBox benutzt, um die Datei zu versenden. Was der User aber nicht weiß ist, dass wetransfer die Datei zwar versendet, den Inhalt aber auch zwischenspeichert. Enthält diese Datei also sensible Firmendaten, liegen diese nun auch auf den Servern der Anbieter.

Gleiches gilt für die Nutzung von Apps oder Cloudanwendungen auf Smartphones. Ein weiterer blinder Fleck für viele IT-Abteilungen. Cloud-Services zu nutzen ist absolute Normalität und wird zu selten hinterfragt. Je mehr solcher Dienste im Einsatz sind, desto größer wird der Schatten. Deshalb hier der erste, wichtige Tipp:

Denken Sie darüber nach einen neuen Service zu nutzen oder eine Anwendung zu installieren? Kontaktieren Sie in jedem Falle Ihre IT-Abteilung.

Wenn es mehr Schatten als Licht gibt

Die Schatten-IT kann ein enormes Risiko für das ganze Unternehmen darstellen. Anwendungen und Tools, die Sie gerade gut gebrauchen können, könnten die strategischen Bemühungen der Digitalisierung im Unternehmen torpedieren. Dieses Szenario sollte unter allen Umständen verhindert werden. Es können zwei Kerntreiber für Schatten-IT identifiziert werden: 

Spezifische Anforderungen aus Fachbereichen

Häufig haben Fachbereiche Probleme für die eine systemgestützte Lösung gefunden werden soll. Hat z. B. das Inside Sales Team kein Tool, um Angebote zu schreiben, wird evaluiert wie dieses Problem behoben werden kann. Ist es der IT-Abteilung nicht möglich eine zeitnahe Lösung zu bieten, kann es sein, dass die Mitarbeiter aus dem Fachbereich eigenständig auf Freeware zurückgreifen, um sich den Arbeitsalltag zu erleichtern. Das diese Maßnahme Gefahren birgt, ist den Mitarbeitern selten bewusst.

Umgehen der Bürokratie

Wenn keine Freeware gefunden werden kann, bleibt i.d.R. nur der Weg über eine offizielle Anfrage. Diese Anfrage ruft sofort auch die Budget-Frage auf: Welcher Budget-Topf greift und ist dieser Topf gefüllt? Das klingt nach keiner schnellen Lösung, sodass häufig die Option einer Eigenentwicklung gezogen wird.. Dieses Szenario ist jedoch noch gefährlicher, da es für diese Art von Systemen keinerlei Weiterentwicklung oder Wartung gibt. Das Resultat: weitere potentielle Einfallstore für Angreifer.

Eine Studie von eco macht deutlich, wie groß und vielschichtig das Problem ist:

Eigene Darstellung

So bringen Sie Licht ins Dunkle

Durch drei Schritte Erlangen Sie den Durchblick zurück:

Erkennen

Um Schatten-IT zu reduzieren, müssen Sie die Größe des Problems evaluieren. Wie kann das herausgefunden werden? Natürlich durch Gespräche mit den Kollegen, aber es gibt auch Tools, die unterstützen können wie z. B.: Cloud App Security von Microsoft. Ist der Status-Quo erhoben und alle Services bekannt, startet Phase zwei:

Bewertung

Die Bewertung der Tools und Services resultiert zum Einen in einer Risikoeinschätzung, aber zum Anderen wird auch deutlich welche Bedürfnisse bestimmte Fachbereiche haben. So kann in der nächsten Phase darüber entschieden werden, wie diese Bedürfnisse gedeckt werden können, was uns zu Phase 3 führt:

Steuern

Nach der Bewertung können also Maßnahmen getroffen werden, um Sicherheitslücken zu schließen und strategisch Software- oder Cloudlösungen einzukaufen. Perspektivisch hat die IT-Abteilung dann wieder die volle Transparenz über alle verwendeten IT-Systeme.

Parallel dazu sollten Prozesse etabliert werden, die verhindern, dass eine neue Schatten-IT entstehen kann.

Quellen: 

Licht an!

Wir beraten Sie gerne rund um das Thema Schatten-IT.
Legen Sie den Schalter um.