Schatten-IT

Beispiele für Schatten-IT

Zwischen neuen Kategorien von Geräten oder Systemen und neuen/bestehenden/alten Richtlinien können Identitätspraktiken schnell unübersichtlich werden. Werfen wir einen Blick auf einige eindeutige Schatten-IT-Beispiele, um alles leichter verständlich zu machen. 

Persönliche oder nicht genehmigte Geräte.

Diese Geräte sind an sich nicht in jedem einzelnen Unternehmen grundsätzlich verboten. Es ist die Art und Weise, wie sie verwendet werden und/oder ob sie ohne die richtige Identity and Access Management (IAM)-Software verwendet werden. Die meisten Organisationen erlauben persönliche Geräte, haben jedoch oft Vorschriften bezüglich der Art von Sicherheits- oder Identitätsanwendungen, die für deren Nutzung implementiert werden müssen.

Beispiele für diese Arten von Geräten umfassen die üblichen Verdächtigen: Smartphones, Laptops und Tablets. Geräte des Internet der Dinge (IoT) machen ebenfalls einen erheblichen Teil dieser Kategorie aus: Smartwatches, Bluetooth-Kopfhörer/Ohrhörer, Fitness-Tracker und Streaming-TV-Geräte.

Nicht genehmigte Anwendungen

Denken Sie an alle Softwareanwendungen, die ein Unternehmen verwendet, um Aufgaben zu erledigen: Projektmanagement, Instant Messaging, Videokonferenzen, Content-Marketing-Automatisierung, soziale Medien, E-Mails und mehr. Je nach den Bedürfnissen eines Teams kann es in einer bestimmten Kategorie mehr als ein Tool im Einsatz geben – und nur eines ist genehmigt.

Ein Hinweis hier: Ein Netzwerk ist nur so stark wie seine Richtlinien. Die Größe des Unternehmens sowie der IT- und Cybersecurity-Abteilungen sind ebenfalls zu berücksichtigen. Bei kleinen bis mittelgroßen Unternehmen kann es sein, dass das Team einfach nicht groß genug ist, um regelmäßig IT-Richtlinien zu erstellen und durchzusetzen. Das Unternehmensnetzwerk wird daher aufgrund der Anzahl neu hinzukommender, nicht genehmigter Geräte immer durchlässiger.

Warum verwenden Menschen Schatten-IT? 

Es gibt zahlreiche Gründe, die einen Mitarbeiter dazu veranlassen könnten, Anwendungen und Software zu verwenden, die nicht von der IT genehmigt wurden. Einige dieser Anwendungsfälle sind verzeihlicher als andere, dennoch könnten alle Situationen letztendlich eine Lehre darin sein, wie sie ein Netzwerk anfälliger für Angriffe machen können. Lassen Sie uns einige Szenarien betrachten: 

• Die aktuelle Videokonferenzanwendung hat technische Schwierigkeiten, und ein Team muss dringend ein Problem besprechen, das ein Projekt mit einer knappen Frist aufhält. Also wenden sie sich einer alternativen Anwendung zu.
• Zwei Teammitglieder möchten ein privates Instant-Messaging-Gespräch führen und möchten, dass absolut keine Möglichkeit besteht, dass jemand in der genehmigten App dieses Gespräch einsehen kann.
• Ein Mitarbeiter hat nur über seinen firmeneigenen Laptop, den er nicht mit in den Urlaub nehmen wird, Zugriff auf seine Firmen-E-Mails. Daher entscheidet sich diese Person, mehrere wichtige arbeitsbezogene Dokumente und Präsentationen an ihre persönliche E-Mail-Adresse zu senden.
• Ein neuer Mitarbeiter arbeitet bereits seit einer Woche im Unternehmen und hat noch immer keinen Firmenlaptop erhalten. Also beschließt er, seinen persönlichen Laptop zu benutzen,der von der IT-Abteilung nicht genehmigt wurde, um mit einigen Projekten mit knappen Fristen zu beginnen.
• Ein neuer oder bestehender Mitarbeiter hat einfach nicht das Wissen oder das allgemeine Bewusstsein für die Unternehmensrichtlinien erhalten, das erforderlich wäre, um vollständig über die Richtlinien zur akzeptablen Nutzung von Geräten und Anwendungen informiert zu sein.
• Ein sich schnell veränderndes Compliance- und Regulierungsumfeld macht es möglicherweise notwendig, dass Unternehmen in einer bestimmten Branche innerhalb eines Kalenderjahres mehrere Updates herausgeben, die die Liste der akzeptierten IT-Systeme fortlaufend ändern.

Vorteile von Schatten-IT

Vorteile von etwas so Riskantem wie Schatten-IT, fragen Sie sich vielleicht? Glauben Sie es oder nicht, es gibt tatsächlich einige Vorteile, wenn man nicht autorisierten Geräten den Zugriff auf ein Unternehmensnetzwerk erlaubt. 

• Schattenergebnisse: Auch wenn es sich nicht um einen offiziellen Begriff handelt, bedeutet Schattenergebnisse im Wesentlichen, dass eine flexiblere Richtlinie in Bezug auf Schatten-IT tatsächlich dazu führen kann, dass Mitarbeiter Aufgaben schneller erledigen können, insbesondere wenn eine autorisierte Anwendung ausfällt oder technische Schwierigkeiten hat.
• IT-Zeit- und Kostenersparnis: Wenn die IT-Abteilung nicht jedes Gerät oder jede Anwendung, die dem Netzwerk beitritt oder in Betrieb genommen wird, autorisieren und bereitstellen muss, spart das dem gesamten Unternehmen Zeit und Geld.
• Verbesserte Beziehungen: Wenn die IT-Abteilung nicht über die digitalen Schultern der Belegschaft schaut, bedeutet das, dass sie keine Unruhe stiftet und keinen Unmut gegen Richtlinien hervorruft, die möglicherweise zu strenge Grenzen setzen.
• Befähigung kleiner Unternehmen: Viele kleine Unternehmen haben einfach nicht genügend Personal, um Schatten-IT-Richtlinien zu erstellen und diese kontinuierlich durchzusetzen. Auch wenn es ein gewisses Risiko gibt, können lockere Richtlinien bezüglich Schatten-IT diesen Unternehmen helfen, innovativ zu sein und schneller voranzukommen.

In der Tat gibt es Risiken bei offenen oder lockeren Schatten-IT-Richtlinien, daher ist es am besten, einen Mittelweg zu finden. Dies könnte bedeuten, dass die IT nach unbefugten Apps scannt und keine Maßnahmen gegen bekannte Apps oder Geräte mit von Natur aus starker Sicherheit ergreift, die zu einem bestimmten Zeitpunkt möglicherweise nicht autorisiert sind, im Netzwerk zu sein.

Risiken von Schatten-IT

Wie wir bereits ausführlich besprochen haben, gibt es viele Sicherheitsrisiken, die mit der absichtlichen oder unabsichtlichen Duldung von Schatten-IT in einem Unternehmensumfeld verbunden sind. 

Jeder ist zwar voll ausgelastet, doch die tägliche Arbeit ist bedeutungslos, wenn keine Richtlinien umgesetzt werden, die verhindern, dass Angreifer Schwachstellen ausnutzen und dem Ruf des Unternehmens schaden. Sie könnten umfassen: 

Blinde Flecken

Da Sicherheitsteams keine Kenntnis von Schatten-IT-Assets haben, bleiben Schwachstellen zwangsläufig unbehoben. Entwicklungsteams verstehen möglicherweise nicht – oder entscheiden sich einfach dafür, die Bedeutung von Cloud-Sicherheitsupdates oder Patches für diese Arten von Assets zu ignorieren.

Ungeschützte Daten

Wenn unbefugte Nutzer auf Cloud-Ressourcen zugreifen, könnten Schwachstellen in Netzwerk-Assets unentdeckt bleiben und Unternehmen der Gefahr von Datenpannen oder -lecks aussetzen. Zusätzlich sind diese Daten höchstwahrscheinlich nicht durch zentrale Backups geschützt, was ihre Wiederherstellung schwierig – wenn nicht gar unmöglich – macht.

Compliance-Probleme

Die meisten Cloud-Compliance-Vorschriften erfordern die Verarbeitung, Speicherung und Sicherung von Kundendaten. Da Unternehmen keinen Überblick über die auf Schatten-IT-Assets gespeicherten Daten haben, könnte dies schnell zu einem Problem werden.

Was kann ein Cybersecurity-Team also gegen das Potenzial tun, dass Schatten-IT im Netzwerk überhand nimmt? Ein guter Ausgangspunkt ist die Implementierung einer Cloud-Risiko - und Compliance-Management-Plattform, um die gesamte Cloud-Umgebung kontinuierlich zu bewerten und Änderungen zu erkennen – wie zum Beispiel neue Assets, die online gehen.

Sobald ein neues Gerät sich anmeldet oder eine neue Ressource im DevOps-Prozess hochgefahren wird, sollte diese Art von Plattform in der Lage sein, sie in Echtzeit zu erkennen und automatisch festzustellen, ob sie den Unternehmensrichtlinien entspricht.