Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Schatten 589482413 700

In der Regel überprüfen und messen IT-Leiter jegliche Veränderung der Arbeitsprozesse und deren Auswirkungen auf die Unternehmensinfrastruktur. Trotz konstanter Überwachung haben sich in den letzten Jahren jedoch riskante Praktiken etabliert. Dazu gehört die „Schatten-IT“.

Es ist in der Tat schwer, die Bedrohung, die durch die „Schatten-IT“ hervorgeht, genau zu ermitteln, da das Phänomen extrem verbreitet und oft genug das Ergebnis von dringend zu erfüllenden Bedürfnissen ist. Es führt aber dazu, dass ein Teil des IT-Bestandes des Unternehmens ausserhalb der Kontrolle der IT-Abteilung liegt. Ob es sich nun um Datenverlust, Sicherheitslücken oder Anfälligkeit für Schadsoftware handelt, der teilweise Verlust der Kontrolle birgt erhebliche Risiken: die im Nachhinein als Bedrohung betrachteten IT-Unfälle sind im Vergleich zum Vorjahr um 28 % gestiegen. Der Austausch sensibler Daten über öffentliche Weblinks hat in zwei Jahren um 23 % zugenommen.

«Wenn Mitarbeiter die IT-Abteilung umgehen und unautorisierte Tools einsetzen, werden sie zu einem privilegierten und schutzlosen Ziel», erklärt Franck Nielacny, CIO bei Stormshield, welcher zudem betont, dass das Phänomen besonders in der Entwicklung neuer Geschäftsmodelle fruchtbaren Boden finde.

In flexibleren und offeneren Unternehmen, wo Mitarbeiter hauptsächlich mobil oder fernarbeiten, werden sie zur Ausübung ihres Jobs oft dazu veranlasst, eigene Hardware (Laptop, privates Smartphone, vernetzte Uhr oder Sprachassistenten) zu nutzen. «Wenn man persönliche Geräte verwendet, ändert sich die Art und Weise, wie auf Informationen zugegriffen wird und deren Austausch stattfindet. Abgesicherte Kommunikationswege, inklusive der VPNs, werden dadurch umgangen,» so Nielacny.

Finanzieller Aspekt und Dringlichkeitsfaktor

Die Stormshield-Experten sind sich darüber einig, dass die Entwicklung der Schatten-IT die direkte Folge der Kostensenkungspolitik der Unternehmen sei. Die von der internen IT-Abteilung zur Verfügung gestellte Infrastruktur galt lange Zeit als aufwendige Kostenstelle. Aus diesem Grund werden die von der IT-Abteilung angebotenen Dienste immer öfter in Konkurrenz zu externen Plattformen gestellt, deren Nominalkosten niedriger erscheinen. Die damit verbundenen Risiken werden dabei nicht zwangsläufig berücksichtigt.

Die Situation spitzt sich überdies wegen der teilweise mangelnden Flexibilität der IT-Abteilungen zu: Wenn die Mitarbeiter einer neuen Ressource bedürfen, deren Bereitstellung aber durch schwerfällige IT-Managementprozesse deutlich verlangsamt wird, werden sie die Dienste eines Drittanbieters einsetzen. Im Allgemeinen entsteht der Eindruck, dass die interne IT-Abteilung viel zu langsam reagiere. Eine Wahrnehmung, die sich umso mehr dadurch verschärft, dass die Systembeauftragten viel zu spät involviert werden. Der Dringlichkeitscharakter, der der Unternehmensproduktivität zugeschrieben wird, steht im Gegensatz zur Notwendigkeit, IT-Services langfristig zu strukturieren.

«Lösungen von Drittanbietern, die nicht a priori von der IT-Abteilung validiert wurden, sind meistens nie langfristige Lösungen», relativiert Nielacny. «Selbst wenn das Tool funktioniert und von den Teams eingesetzt wird, erweist es sich als sehr kompliziert, die neue Plattform oder das neue Gerät in die IT-Infrastruktur des Unternehmens zu integrieren. Netzwerkerweiterungen, Zugriffsregeln oder Sicherheitsanforderungen sind alle mögliche Hindernisse. Das gilt besonders, wenn es sich um privat genutzte Plattformen oder Geräte handelt.»

Sensibilisierung besser als Zwang

Zur Einschränkung des Phänomens der Schatten-IT- bieten sich laut Nielacny drei Ansätze: Vorbeugung, Behandlung und die Auferlegung von Regeln.

Beim ersten Ansatz sind die IT-Verantwortlichen auch Garanten für die Sensibilisierung der Mitarbeiter. Dazu gehört, bewährte, sichere Praktiken zu vermitteln und auf riskante und zu vermeidende wiederholt hinzuweisen. «Die Kunst der IT-Abteilung besteht darin, sich in Gespräche und Projekte unter den verschiedenen Geschäftseinheiten ‘einzuklinken’, um allfällige neue Plattformen für den Informationsaustausch abzusichern bzw. bestehende so zu optimieren, dass sie den sich ändernden Anforderungen der verschiedenen Abteilungen entsprechen». Eine Aufgabe, die laut Nielacny so unauffällig wie möglich durchgeführt werden sollte, denn oft empfinden Mitarbeiter eventuell hinzuzufügende Sicherheitsmassnahmen als lästig. Die Herausforderung bestünde also grundsätzlich darin, von der IT validierte Mittel und Ressourcen zu implementieren, die als optimale Stütze für den beruflichen Alltag wahrgenommen und akzeptiert werden.

Beim kurativen Ansatz stellt die IT-Abteilung meistens anhand von Log-Analysen fest, ob externe Dienste eingesetzt werden, die nicht zur offiziellen IT-Infrastruktur gehören. Sie eruiert zudem ob und wie der Datenverkehr aus und zu Plattformen von Drittanbietern geschützt werden kann und trifft entsprechende Massnahmen. Kann diese Art von Datenverkehr nicht abgesichert werden, unterbindet ihn die IT-Abteilung. Letzteres ist aber nur beschränkt möglich, was ja der Kern der Problematik ist.

Beim dritten Ansatz steht die Auferlegung von Regeln und Best Practices von oben im Spiel. Mit der Einführung der DSGVO haben tatsächlich zahlreiche Unternehmen ihre Sicherheitsrichtlinien bereits verschärft. «Das kann man den IT-Leitern nicht verdenken. Die Schatten-IT stellt tatsächlich eine Herausforderung bezüglich der Einhaltung von Rechtsvorschriften dar, besonders hinsichtlich der korrekten Handhabung von personenbezogenen Daten», so Nielacny.

Die Steigerung des Risikobewusstseins sei jedoch meistens dem Auferlegen von Verboten vorzuziehen, denn das natürliche Bedürfnis nach Vereinfachung der Mitarbeiter würde sie definitiv wieder dazu verleiten, alternative Wege zum bequemeren und reibungsloseren Informationsaustausch zu suchen.

www.stormshield.com

GRID LIST
Notfall Knopf

Die Zeit läuft: Worauf es bei der Notfallreaktion ankommt

Wie bei jedem Notfall – Feuer, Herzinfarkt oder Verkehrsunfall – spielt auch bei…
Torhüter FCA

Torhüter der IT – der FC Augsburg setzt auf „Made in Augsburg"

Der 1907 gegründete Traditionsverein FC Augsburg (FCA) nutzt zur Verwaltung seiner…
Tb W190 H80 Crop Int A03eb03b6c06e9e89dbea9d04fe772e2

IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

Moderne IT-Security muss einerseits die Herausforderungen der digitalen Transformation…
Hand hält Wolke mit Schloss

Forcepoint Next Generation Firewall

Evasion-Techniken bilden eine besondere Gefahr für die IT-Sicherheit in Unternehmen.…
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…