IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

it verlag germany image 3Schatten-IT, oder Shadow-IT, ist eines der Sicherheits-Schlagwörter dieses Jahres. Was steckt aber hinter der Schatten-IT? Wie entsteht sie? Wo liegen Risiken und gibt es vielleicht sogar Chancen? Und schließlich: Wie gehen Unternehmen derzeit mit dem Phänomen um?

Einen Überblick zu diesen Fragen soll der folgende Artikel geben.

Schatten-IT kann definiert werden als Hard- oder Software, die ohne Genehmigung oder Wissen der IT-Abteilung im Unternehmen eingesetzt wird. Immer häufiger setzen Mitarbeiter Endgeräte, Services oder Software ein, von der die IT-Abteilung nichts weiß. Grund dafür sind vor allem die Trends hin zu mehr Cloud-Computing und Bring Your Own Device (BYOD). Mitarbeiter setzen beispielsweise externe Cloudspeicher wie Dropbox ein oder loggen sich mit privaten Endgeräten im Firmennetzwerk ein. Solche privaten oder nicht genehmigten Netzwerkgeräte einzusetzen erfolgt nicht aus Böswilligkeit. Häufig sind die öffentlichen Services bequemer anzuwenden oder das Prozedere ein Gerät bei der IT absegnen zu lassen, ist aus Sicht des Mitarbeiters einfach zu aufwendig.

Die folgenden Zahlen verdeutlichen, in welchem Maße Shadow-IT bereits verbreitet ist. So gaben 80% der Befragten einer Frost & Sullivan Umfrage zu Protokoll, nicht genehmigte SaaS-Applikationen im Arbeitsalltag einzusetzen. Eine Erhebung von CipherCloud förderte ähnliche Ergebnisse zutage: In einem durchschnittlichen Unternehmen werden 1.100 Cloud-Applikationen genutzt, von denen 86% nicht genehmigt sind. Typische Anwendungsbereiche der Schatten-IT betreffen beispielsweise Social-Media, File-Sharing oder Datenspeicherung.

Dabei ergeben sich durchaus auch Chancen durch Schatten-IT, etwa effizienter zu arbeiten oder sich Innovationen ins Haus zu holen, die Prozesse und Abläufe optimieren. So kann das gemeinsame Bearbeiten von Dokumenten über GoogleDoc einfacher zu handhaben sein. Dennoch stehen den möglichen Chancen gewaltige Risiken entgegen. Es gilt: Was die IT nicht sieht, kann die IT auch nicht sichern. Die andere Seite der Medaille sind deshalb Gefahren wie die Verletzung von Governance- und Compliance-Regeln, wenn Firmendaten auf öffentliche Clouds ausgelagert werden. Darüber hinaus ergeben sich neue Angriffspunkte für Cyberkriminelle und Malware, weil etwa Applikationen Dritter nicht den Sicherheitsrichtlinien des Unternehmens entsprechen. Ferner sind auch Probleme beim Backup von Daten oder der Disaster-Recovery nicht auszuschließen. Schließlich können nicht genehmigte Services beispielsweise die Bandbreite des Netzwerks übermäßig belasten und damit Arbeitsabläufe stören.

Ein gutes und prominentes Beispiel für solche Schwierigkeiten ist die ehemalige US-Außenministerin Hillary Clinton. Sie nutzte für ihren offiziellen Emailverkehr als Ministerin einen privaten Email-Account, der noch dazu mehrere Monate unverschlüsselt war. Die Folge: Das FBI ermittelt in der Sache und könnte Clinton oder deren Mitarbeiter vorladen – das wäre im Wahlkampf schädlich.

Wir erleben einen grundsätzlichen Wandel in der IT, ausgelöst und vorangetrieben durch Software-as-a-Service (SaaS) und BYOD. Neue Bedrohungen ergeben sich ebenso schnell, wie alte entdeckt werden. Sicherheitsanbieter wie Tenable Network Security stellen deshalb die berechtigte Frage: Ist die bisherige Verteidigung via „Defense-in-depth“, also einem Verteidigungsring aus verschiedenen Technologien, wie Anti-Viren-Software, Firewalls, usw., nicht gescheitert oder zum Scheitern verurteilt? Ist nicht vielmehr ein neuer Ansatz nötig, der die gegenwärtigen Sicherheitsprogramme transformiert, mit der Evolution der IT Schritt hält und eine flexiblere Umgebung schafft?

Die Schatten-IT ist ein gutes Beispiel für diese neuen Bedrohungen: Sie lässt sich schwer aufhalten und schlecht kontrollieren. Unternehmen müssen sich deshalb fragen, wie ein zeitgemäßer Umgang mit den Vorgängen im Schatten aussehen kann. Welche Wege können beschritten werden, um nicht nur Gefahren zu bannen, sondern auch die Chancen zu ergreifen? Klar ist, dass kein Grund für Panik besteht. Die Probleme und Gefahren können bewältigt werden, womit Unternehmen den Weg ebnen um das Potenzial auszuschöpfen.

Drei Schritte charakterisieren dieses zeitgemäße Vorgehen:

  1. Kontinuierlichen Einblick sicherstellen:

    Was unsichtbar oder unbekannt ist, kann nicht gesichert werden. Deshalb ist es notwendig, alle Endgeräte, Anwendungen usw. zu erfassen. Oftmals stoßen die herkömmlichen und klassischen Sicherheitslösungen dabei an eine Grenze: Sie sind auf periodisches Vulnerability-Scanning und nicht auf kontinuierliches Netzwerk-Monitoring in Echtzeit ausgelegt. Deshalb sind sie häufig nicht in der Lage, beispielsweise kurzzeitig eingeloggte Geräte zu erfassen, die sich über den Tag hinweg im Netzwerk an- und abmelden. Diese Art des Scannens, egal ob sie monatlich, wöchentlich oder täglich erfolgt, bietet immer nur eine Momentaufnahme – das Netzwerk ist während der restlichen Zeit ungeschützt. Eine Alternative zu herkömmlichen, periodischen Scans sind passive Schwachstellen-Scans, die kontinuierlich alle Geräte, Services und Anwendungen im Netzwerk ermitteln. Mit diesen passiven Scan-Möglichkeiten, die beispielsweise Unternehmen wie Tenable Network Security anbieten, können Unternehmen aktive und passive Scans eingriffsfrei durchführen. Somit werden kurzzeitig eingeloggte Laptops, private Mobilgeräte oder unerwünschte Cloud-Applikationen entdeckt und identifiziert. Sind diese erfasst, können weitere Schritte unternommen werden.
     
  2. Kontext erfassen und verstehen:

    Der nächste Schritt besteht darin, die erfassten Netzwerkgeräte laufend zu überprüfen, um zu erkennen, wie sie interagieren. Wird der Datenverkehr erfasst, können mögliche Schwachstellen identifiziert werden: Wo findet ein Austausch von Datenpaketen statt? An welcher Stelle drohen Daten verloren zu gehen, etwa, weil sie auf öffentlichen Clouds abgelegt werden? Gerade wenn Mitarbeiter Unternehmensdaten auf öffentlich zugänglichen Clouds abspeichern, drohen diese kompromittiert zu werden. Einer der besten Wege, die Sicherheitsstrategie eines Unternehmens in den richtigen Kontext zu bringen, ist es, sie entsprechend den Branchenrichtlinien und Rahmenwerken zu gestalten. Zu diesen Richtlinien gehören zum Beispiel die ISO/IEC 27001/27002 (ISO) oder das U.S. National Institute for Standards and Technology (NIST) Framework for Improving Critical Infrastructure Cybersecurity (Cybersecurity Framework). Diese Regelwerke setzen nicht voraus, dass ein Unternehmen perfekte Sicherheit bietet – das wäre angesichts der heutigen Bedrohungslage unrealistisch. Sie helfen aber den IT-Sicherheitsprofis dabei, ihre Konzepte mit den entsprechenden Rahmenbedingungen im Hinterkopf zu erarbeiten. Gemäß den Rahmenwerken zu agieren ermöglicht es Unternehmen außerdem, die Kontrollen ihres Netzwerks objektiv zu beurteilen und eine Response-Strategie zu entwerfen, die den jeweiligen Erfordernissen am besten entspricht.
     
  3. Ablauf priorisieren und Mitarbeiter schulen:

    In Zeiten einer wachsenden Vielfalt und Zahl von Bedrohungen und gleichzeitig beschränkten personellen sowie technischen Ressourcen, müssen Unternehmen den Ressourceneinsatz priorisieren. Es stellt sich die Frage, welche Netzwerkressourcen die Sicherheit bedrohen. Ohne aber zuvor den Kontext erfasst zu haben, ist es für die IT schwierig, dies festzulegen. Ist die Umgebung zu laut, gehen die wichtigen Zwischentöne verloren. Sicherheitsregelwerke sind auch deshalb hilfreich, weil sie es Unternehmen erlauben, ihre Sicherheitsprozedere zu priorisieren. So können Redundanzen und komplexe Vorgänge aufgedeckt werden, die wertvolle Ressourcen binden. Ein anderer Knackpunkt ist die Aufmerksamkeit der Mitarbeiter. Diese zu den Themen BYOD und unzulässiger Cloud-Anwendungen zu schulen, steigert ihr Verantwortungsbewusstsein und kann dabei helfen, die Auswüchse der Schattengewächse zurückzuschneiden.

Gehen Unternehmen nach diesem Muster vor, haben sie gute Chancen, Licht ins Dunkle zu bringen und potenzielle Bedrohungen wegen ungenehmigter Mobilgeräte und von Cloud-Anwendungen zu beseitigen. Werden zugleich die Mitarbeiter für die Thematik Schatten-IT sensibilisiert und im Umgang mit Dritt-Software, externen Services und BYOD geschult, können Firmen von den Vorteilen der modernen Zeiten profitieren und ihre Sicherheits- und Geschäftsziele erreichen.

Gavin MillardGavin Millard, EMEA Technical Director, Tenable Network Security

www.tenable.com/de

 

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet