Ein Phänomen in vielen Unternehmen: Anwender nutzen trotz bereits zur Verfügung gestellter Dienste vermehrt Lösungen von Dritten. Cybersecurity-Hersteller Stormshield verweist auf die Gefahren einer solchen Schatten-IT und nennt Möglichkeiten, wie IT-Leiter dagegen vorgehen können.
In der Regel überprüfen und messen IT-Leiter jegliche Veränderung der Arbeitsprozesse und deren Auswirkungen auf die Unternehmensinfrastruktur. Trotz konstanter Überwachung haben sich in den letzten Jahren jedoch riskante Praktiken etabliert. Dazu gehört die Schatten-IT: Gemeint ist die parallele Nutzung von fremden – meistens in der Cloud angesiedelten – Anwendungen und Diensten und solchen, die durch die IT-Abteilung über SaaS-Plattformen bereitgestellt werden.
Den Cybersecurity-Experten zufolge ist es schwer, die Bedrohung, die von Schatten-IT ausgeht, genau zu ermitteln, da das Phänomen extrem verbreitet und oft genug das Ergebnis von dringend zu erfüllenden Bedürfnissen sei. Es führe aber dazu, dass ein Teil des IT-Bestandes des Unternehmens außerhalb der Kontrolle der IT-Abteilung liegt. Ob es sich nun um Datenverlust, Sicherheitslücken oder Anfälligkeit für Schadsoftware handelt, der teilweise Verlust der Kontrolle berge erhebliche Risiken: Die im Nachhinein als Bedrohung betrachteten IT-Unfälle seien im Vergleich zum Vorjahr um 28 Prozent gestiegen. Der Austausch sensibler Daten über öffentliche Weblinks habe in zwei Jahren um 23 Prozent zugenommen. „Wenn Mitarbeiter die IT-Abteilung umgehen und unautorisierte Tools einsetzen, werden sie zu einem privilegierten und schutzlosen Ziel“, erklärt Franck Nielacny, CIO bei Stormshield, welcher zudem betont, dass das Phänomen besonders in der Entwicklung neuer Geschäftsmodelle fruchtbaren Boden finde.
In flexibleren und offeneren Unternehmen, wo Mitarbeiter hauptsächlich mobil oder remote arbeiten, würden sie zur Ausübung ihres Jobs oft dazu veranlasst, eigene Hardware (Notebook, privates Smartphone, vernetzte Uhr oder Sprachassistenten) zu nutzen. „Wenn man persönliche Geräte verwendet, ändert sich die Art und Weise, wie auf Informationen zugegriffen wird und deren Austausch stattfindet. Abgesicherte Kommunikationswege, inklusive der VPNs, werden dadurch umgangen“, so Nielacny.
Finanzieller Aspekt und Dringlichkeitsfaktor
Die Stormshield-Experten sind sich einig, dass die Entwicklung der Schatten-IT die direkte Folge der Kostensenkungspolitik der Unternehmen sei. Die von der internen IT-Abteilung zur Verfügung gestellte Infrastruktur habe lange Zeit als aufwendige Kostenstelle gegolten. Aus diesem Grund stünden die von der IT-Abteilung angebotenen Dienste immer öfter in Konkurrenz zu externen Plattformen, deren Nominalkosten niedriger erscheinen. Die damit verbundenen Risiken würden dabei nicht zwangsläufig berücksichtigt.
Die Situation spitze sich überdies wegen der teilweise mangelnden Flexibilität der IT-Abteilungen zu: Wenn die Mitarbeiter einer neuen Ressource bedürfen, deren Bereitstellung aber durch schwerfällige IT-Managementprozesse deutlich verlangsamt wird, würden sie die Dienste eines Drittanbieters einsetzen. Im Allgemeinen entstehe der Eindruck, dass die interne IT-Abteilung viel zu langsam reagiere. Eine Wahrnehmung, die sich umso mehr dadurch verschärft, dass die Systembeauftragten viel zu spät involviert würden. Der Dringlichkeitscharakter, der der Unternehmensproduktivität zugeschrieben werde, stehe im Gegensatz zur Notwendigkeit, IT-Services langfristig zu strukturieren. „Lösungen von Drittanbietern, die nicht a priori von der IT-Abteilung validiert wurden, sind meistens nie langfristige Lösungen“, relativiert Nielacny. „Selbst wenn das Tool funktioniert und von den Teams eingesetzt wird, erweist es sich als sehr kompliziert, die neue Plattform oder das neue Gerät in die IT-Infrastruktur des Unternehmens zu integrieren. Netzwerkerweiterungen, Zugriffsregeln oder Sicherheitsanforderungen sind alle mögliche Hindernisse. Das gilt besonders, wenn es sich um privat genutzte Plattformen oder Geräte handelt.“
Sensibilisierung besser als Zwang
Zur Einschränkung des Phänomens der Schatten-IT- bieten sich laut Nielacny drei Ansätze: Vorbeugung, Behandlung und die Auferlegung von Regeln.
Beim ersten Ansatz seien die IT-Verantwortlichen auch Garanten für die Sensibilisierung der Mitarbeiter. Dazu gehöre es, bewährte, sichere Praktiken zu vermitteln und auf riskante und zu vermeidende wiederholt hinzuweisen. „Die Kunst der IT-Abteilung besteht darin, sich in Gespräche und Projekte unter den verschiedenen Geschäftseinheiten einzuklinken, um allfällige neue Plattformen für den Informationsaustausch abzusichern bzw. bestehende so zu optimieren, dass sie den sich ändernden Anforderungen der verschiedenen Abteilungen entsprechen“. Eine Aufgabe, die laut Nielacny so unauffällig wie möglich durchgeführt werden sollte, denn oft empfänden Mitarbeiter eventuell hinzuzufügende Sicherheitsmaßnahmen als lästig. Die Herausforderung bestünde also grundsätzlich darin, von der IT validierte Mittel und Ressourcen zu implementieren, die als optimale Stütze für den beruflichen Alltag wahrgenommen und akzeptiert werden.
Beim kurativen Ansatz könne die IT-Abteilung meistens anhand von Log-Analysen feststellen, ob externe Dienste eingesetzt werden, die nicht zur offiziellen IT-Infrastruktur gehören. Zudem könne sie eruieren, ob und wie der Datenverkehr aus und zu Plattformen von Drittanbietern geschützt werden kann, und entsprechende Maßnahmen treffen. Könne diese Art von Datenverkehr nicht abgesichert werden, würde ihn die IT-Abteilung unterbinden. Letzteres sei aber nur beschränkt möglich, was ja der Kern der Problematik sei.
Beim dritten Ansatz stehe die Auferlegung von Regeln und Best Practices von oben im Spiel. Mit der Einführung der DSGVO hätten tatsächlich zahlreiche Unternehmen ihre Sicherheitsrichtlinien bereits verschärft. „Das kann man den IT-Leitern nicht verdenken. Die Schatten-IT stellt tatsächlich eine Herausforderung bezüglich der Einhaltung von Rechtsvorschriften dar, besonders hinsichtlich der korrekten Handhabung von personenbezogenen Daten“, so Nielacny. Die Steigerung des Risikobewusstseins sei jedoch meistens dem Auferlegen von Verboten vorzuziehen, denn das natürliche Bedürfnis nach Vereinfachung der Mitarbeiter würde sie definitiv wieder dazu verleiten, alternative Wege zum bequemeren und reibungsloseren Informationsaustausch zu suchen.
Autor: Bernhard Lück
(c)2019
Vogel Communications Group
Bitte beachten Sie
Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.
Vogel Communications Group
