Anzeige

In der Regel überprüfen und messen IT-Leiter jegliche Veränderung der Arbeitsprozesse und deren Auswirkungen auf die Unternehmensinfrastruktur. Trotz konstanter Überwachung haben sich in den letzten Jahren jedoch riskante Praktiken etabliert. Dazu gehört die „Schatten-IT“.

Es ist in der Tat schwer, die Bedrohung, die durch die „Schatten-IT“ hervorgeht, genau zu ermitteln, da das Phänomen extrem verbreitet und oft genug das Ergebnis von dringend zu erfüllenden Bedürfnissen ist. Es führt aber dazu, dass ein Teil des IT-Bestandes des Unternehmens ausserhalb der Kontrolle der IT-Abteilung liegt. Ob es sich nun um Datenverlust, Sicherheitslücken oder Anfälligkeit für Schadsoftware handelt, der teilweise Verlust der Kontrolle birgt erhebliche Risiken: die im Nachhinein als Bedrohung betrachteten IT-Unfälle sind im Vergleich zum Vorjahr um 28 % gestiegen. Der Austausch sensibler Daten über öffentliche Weblinks hat in zwei Jahren um 23 % zugenommen.

«Wenn Mitarbeiter die IT-Abteilung umgehen und unautorisierte Tools einsetzen, werden sie zu einem privilegierten und schutzlosen Ziel», erklärt Franck Nielacny, CIO bei Stormshield, welcher zudem betont, dass das Phänomen besonders in der Entwicklung neuer Geschäftsmodelle fruchtbaren Boden finde.

In flexibleren und offeneren Unternehmen, wo Mitarbeiter hauptsächlich mobil oder fernarbeiten, werden sie zur Ausübung ihres Jobs oft dazu veranlasst, eigene Hardware (Laptop, privates Smartphone, vernetzte Uhr oder Sprachassistenten) zu nutzen. «Wenn man persönliche Geräte verwendet, ändert sich die Art und Weise, wie auf Informationen zugegriffen wird und deren Austausch stattfindet. Abgesicherte Kommunikationswege, inklusive der VPNs, werden dadurch umgangen,» so Nielacny.

Finanzieller Aspekt und Dringlichkeitsfaktor

Die Stormshield-Experten sind sich darüber einig, dass die Entwicklung der Schatten-IT die direkte Folge der Kostensenkungspolitik der Unternehmen sei. Die von der internen IT-Abteilung zur Verfügung gestellte Infrastruktur galt lange Zeit als aufwendige Kostenstelle. Aus diesem Grund werden die von der IT-Abteilung angebotenen Dienste immer öfter in Konkurrenz zu externen Plattformen gestellt, deren Nominalkosten niedriger erscheinen. Die damit verbundenen Risiken werden dabei nicht zwangsläufig berücksichtigt.

Die Situation spitzt sich überdies wegen der teilweise mangelnden Flexibilität der IT-Abteilungen zu: Wenn die Mitarbeiter einer neuen Ressource bedürfen, deren Bereitstellung aber durch schwerfällige IT-Managementprozesse deutlich verlangsamt wird, werden sie die Dienste eines Drittanbieters einsetzen. Im Allgemeinen entsteht der Eindruck, dass die interne IT-Abteilung viel zu langsam reagiere. Eine Wahrnehmung, die sich umso mehr dadurch verschärft, dass die Systembeauftragten viel zu spät involviert werden. Der Dringlichkeitscharakter, der der Unternehmensproduktivität zugeschrieben wird, steht im Gegensatz zur Notwendigkeit, IT-Services langfristig zu strukturieren.

«Lösungen von Drittanbietern, die nicht a priori von der IT-Abteilung validiert wurden, sind meistens nie langfristige Lösungen», relativiert Nielacny. «Selbst wenn das Tool funktioniert und von den Teams eingesetzt wird, erweist es sich als sehr kompliziert, die neue Plattform oder das neue Gerät in die IT-Infrastruktur des Unternehmens zu integrieren. Netzwerkerweiterungen, Zugriffsregeln oder Sicherheitsanforderungen sind alle mögliche Hindernisse. Das gilt besonders, wenn es sich um privat genutzte Plattformen oder Geräte handelt.»

Sensibilisierung besser als Zwang

Zur Einschränkung des Phänomens der Schatten-IT- bieten sich laut Nielacny drei Ansätze: Vorbeugung, Behandlung und die Auferlegung von Regeln.

Beim ersten Ansatz sind die IT-Verantwortlichen auch Garanten für die Sensibilisierung der Mitarbeiter. Dazu gehört, bewährte, sichere Praktiken zu vermitteln und auf riskante und zu vermeidende wiederholt hinzuweisen. «Die Kunst der IT-Abteilung besteht darin, sich in Gespräche und Projekte unter den verschiedenen Geschäftseinheiten ‘einzuklinken’, um allfällige neue Plattformen für den Informationsaustausch abzusichern bzw. bestehende so zu optimieren, dass sie den sich ändernden Anforderungen der verschiedenen Abteilungen entsprechen». Eine Aufgabe, die laut Nielacny so unauffällig wie möglich durchgeführt werden sollte, denn oft empfinden Mitarbeiter eventuell hinzuzufügende Sicherheitsmassnahmen als lästig. Die Herausforderung bestünde also grundsätzlich darin, von der IT validierte Mittel und Ressourcen zu implementieren, die als optimale Stütze für den beruflichen Alltag wahrgenommen und akzeptiert werden.

Beim kurativen Ansatz stellt die IT-Abteilung meistens anhand von Log-Analysen fest, ob externe Dienste eingesetzt werden, die nicht zur offiziellen IT-Infrastruktur gehören. Sie eruiert zudem ob und wie der Datenverkehr aus und zu Plattformen von Drittanbietern geschützt werden kann und trifft entsprechende Massnahmen. Kann diese Art von Datenverkehr nicht abgesichert werden, unterbindet ihn die IT-Abteilung. Letzteres ist aber nur beschränkt möglich, was ja der Kern der Problematik ist.

Beim dritten Ansatz steht die Auferlegung von Regeln und Best Practices von oben im Spiel. Mit der Einführung der DSGVO haben tatsächlich zahlreiche Unternehmen ihre Sicherheitsrichtlinien bereits verschärft. «Das kann man den IT-Leitern nicht verdenken. Die Schatten-IT stellt tatsächlich eine Herausforderung bezüglich der Einhaltung von Rechtsvorschriften dar, besonders hinsichtlich der korrekten Handhabung von personenbezogenen Daten», so Nielacny.

Die Steigerung des Risikobewusstseins sei jedoch meistens dem Auferlegen von Verboten vorzuziehen, denn das natürliche Bedürfnis nach Vereinfachung der Mitarbeiter würde sie definitiv wieder dazu verleiten, alternative Wege zum bequemeren und reibungsloseren Informationsaustausch zu suchen.

www.stormshield.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!