Was ist Schatten-IT?
Schatten-IT (engl. Shadow IT) bezieht sich auf jede Informationstechnologie, die ohne das Wissen oder die Genehmigung der IT- oder Informationssicherheitsabteilung des Unternehmens genutzt wird. Schatten-IT umfasst Hardware und Endgeräte, Software und Anwendungen sowie Cloud-Dienste. Typische Arten von Schatten-IT in Unternehmen sind:
- Hardware und Endpunkt-Geräte : Laptops, Handys, Tablets, Speichermedien wie USB-Sticks und HDDs, Netzwerkgeräte wie Router, und IoT Geräte.
- Software und Programme: Betriebssysteme, Office-Pakete, Web-Browser, Tools für die Kommunikation und Videokonferenzen, Grafik und Design Software, Security Software, und Datenbanken.
- Cloud-basierte Dienstleistungen: Software-as-a-Service (SaaS), zum Beispiel, Microsoft 365, Google Workspace, Dropbox, Slack, und Salesforce; Infrastructure-as-a-Service (IaaS), zum Beispiel, AWS und Microsoft Azure.>
Der drastische Anstieg der Shadow IT
Während der Begriff Schatten-IT möglicherweise neu für Sie ist, gibt es sie schon lange. Unternehmen nutzten Schatten-IT bereits zu den Zeiten, in denen Disketten und USB-Sticks noch beliebt waren. Die Mitarbeiter nutzten diese oft, um Daten zu kopieren und um auf ihren privaten Computer arbeiten zu können. Mit der Einführung der Bring-your-own-device (BYOD)-Richtlinie im Jahr 2010 konnten Mitarbeiter ihre persönlichen Laptops und Geräte für arbeitsbezogene Aktivitäten mit dem Büronetzwerk verbinden. In den letzten Jahren wurde die Schatten-IT immer häufiger genutzt, da sie zunehmenden verfügbar wurde und webbasierten SaaS-Anwendungen immer häufiger genutzt wurden.
Heutzutage können Mitarbeiter immer mehr SaaS-Apps nutzen, die ihre Arbeit zu unterstützen. Diese SaaS-Apps reichen von Office-Suiten, zu E-Mail-, Dateifreigabe- und Speicher-Apps, Videokonferenz-Apps, Tools für die Zusammenarbeit und Produktivität bis hin zu Bild- und Videobearbeitungsprogrammen. Viele dieser SaaS Apps werden entweder kostenlos angeboten oder können durch preiswerte und kurzfristige Abonnements erworben werden. Das macht sie für Mitarbeiter und Teams sehr attraktiv, denn dadurch können sie ihre Arbeit schneller und effektiver erledigen. Außerdem wurde die Schatten-IT mit der Zunahme von Remote-Work aufgrund der COVID-19-Pandemie in den letzten Jahren immer beliebter, denn die Mitarbeiter konnten dadurch ausschließlich ihre persönlichen Geräten und ihr eigenes Netzwerk nutzen und Cloud-basierte Anwendungen in weniger gut ausgestatteten Umgebungen einsetzen.
Vorteile und Risiken der Schatten-IT
Die Tatsache, dass Schatten-IT-Anwendungen und -Geräte in Unternehmen weit verbreitet sind, deutet auf ihren unbestrittenen Wert und Komfort hin. Auch wenn die Nutzung von Schatten-IT selten böswillig ist, ist sie für die Cybersicherheit dennoch ein Risiko. Um Systeme und Daten vor diesen Gefahren zu schützen, wird empfohlen, Schatten-IT zu verwalten.
In diesem Abschnitt untersuchen wir die Vorteile und Sicherheitsrisiken der Schatten-IT, um Unternehmen ein besseres Gefühl dafür zu vermitteln, was auf dem Spiel steht.
Vorteile der Schatten-IT
- Arbeitseffizienz und -produktivität: Schatten-IT fördert die Arbeitseffizienz und -produktivität in zweierlei Hinsicht. Einerseits können Mitarbeiter und Teams sofort mit der Nutzung von IT-Ressourcen beginnen, ohne potenziell langwierige Prozesse der Antragstellung und des Wartens auf die Prüfung und Genehmigung der Nutzung durch die IT- und Finanzabteilungen zu durchlaufen. Andererseits können Shadow-IT-Ressourcen einen größeren Nutzen bieten als die von der Organisation bereitgestellten und genehmigten Ressourcen, so dass die Mitarbeiter ihre Aufgaben effizienter erledigen können.
- Mehr Innovation: Shadow-IT kann Unternehmen dabei unterstützen Innovation voranzutreiben. Unternehmen können von der Kreativität und den Ideen ihrer Mitarbeiter profitieren, indem sie ihren Mitarbeitern erlauben, externe Lösungen zu nutzen. Dies kann neue Problemlösungsansätze fördern und Unternehmen helfen, wettbewerbsfähig zu bleiben.
- Höhere Mitarbeiterzufriedenheit: Shadow IT kann zudem dazu betragen die Zufriedenheit der Mitarbeiter zu steigern. Dadurch dass Mitarbeiter die Tools nutzen dürfen, die sie brauchen um effektiv zu arbeiten, wird die Wertschätzung der Mitarbeiter ausgedrückt. Dies kann zu einer höheren Arbeitszufriedenheit, einer besseren Erfahrung der User und einer geringeren Fluktuation führen.
- Entlastung der IT-Abteilung: Die Überprüfung und Genehmigung aller IT-Ressourcen im Unternehmen würde durch die weit verbreitete Shadow-IT einen enormen Aufwand für die IT-Abteilung bedeuten. Dies würde Zeit von anderen geschäftskritischen Aufgaben wie der Optimierung der Netzwerkleistung, der Fehlersuche und der Ressourcenplanung abziehen.
Sicherheitsrisiken der Shadow IT
- Cyber Angriffe: Schatten-IT in Form von persönlichen Laptops, mobilen Geräten und IoT-Geräten macht das Netzwerk eines Unternehmens anfällig für Cyberangriffe. Ohne die Kenntnis oder die Tools zur Erkennung ihrer Anwesenheit hat das IT-Sicherheitsteam keine Möglichkeit sicherzustellen, dass diese Geräte die Sicherheitsgrundlagen erfüllen, z. B. ob sie mit Endpunktsicherheitssoftware installiert sind, ob Betriebssysteme, Software und Firmware gepatcht und auf dem neuesten Stand sind und ob es unsichere Einstellungen und schwache oder voreingestellte Passwörter gibt. Angreifer können jede Schwachstelle im Netzwerk ausnutzen, um in Geräte einzudringen, sich im Netzwerk auszubreiten und einen verheerenden Datenverlust zu verursachen oder Ransomware Angriffe durchzuführen.
- Datenlecks: Schatten-IT kann zu Datenlecks führen, d. h. zur unbefugten Übertragung von Daten innerhalb eines Unternehmens an ein nicht vertrauenswürdiges externes Ziel. Bei SaaS-Anwendungen werden die User-Daten beim SaaS-Anbieter gespeichert. Das bedeutet, dass die Sicherheit dieser Daten in der Hand des Anbieters liegt. Webanwendungen und die ihnen zugrunde liegende Infrastruktur weisen jedoch häufig Schwachstellen und Fehlkonfigurationen auf, die Angreifer ausnutzen können, um sich unbefugten Zugang zu verschaffen. So können Angreifer beispielsweise die Datenbank einer Anwendung mit einem SQL-Injektionsangriff hacken, um sensible Daten wie die Anmeldedaten der User und Kreditkarteninformationen zu stehlen oder die gesamte Datenbank zu löschen.
- Datenverlust: Datenverlust ist jeder Prozess oder jedes Ereignis, das dazu führt, dass Daten von einem User oder einer Softwareanwendung beschädigt, gelöscht oder unlesbar gemacht werden. Im Falle der Schatten-IT kann dies der Fall sein, wenn Mitarbeiter persönliche Cloud-Speicherlösungen wie Dropbox und Google Drive oder persönliche USB-Flash-Laufwerke nutzen, um Unternehmensdaten, wie Kundeninformationen oder geistiges Eigentum des Unternehmens, zu übertragen und zu speichern. Das Unternehmen verliert nicht nur den Zugriff auf seine Daten, sondern kann die Daten sogar ganz verlieren, wenn Mitarbeiter das Unternehmen verlassen oder - im Falle von kostenpflichtigen Speicherdiensten - ihr Abonnement abgelaufen ist.
- Verstoß gegen die Rechtsvorschriften: Unternehmen müssen verschiedene Datenschutzgesetze, wie die EU-Datenschutzgrundverordnung (DSGVO) und branchenspezifische Vorschriften, wie das Health Insurance Portability and Accountability Act (HIPAA) für das Gesundheitswesen und Krankenversicherungsanbieter in den USA einhalten. Wenn sensible Daten, wie personenbezogene Daten (PII) im Rahmen der Schatten-IT übertragen und gespeichert werden und anschließend veröffentlicht werden, müssen Unternehmen mit hohen Geldstrafen, Rufschädigung und Geschäftseinbußen rechnen. Denn die Publikation der Daten ist laut der geltenden Gesetze und Vorschriften ein Mangel an Sorgfalt beim Schutz der Daten.
Der richtige Umgang mit Shadow-IT Risken
Trotz der Sicherheitsrisiken, die die Shadow-IT mit sich bringt, nutzen die Mitarbeiter sie, um schnellen, flexiblen und reibungslosen Zugang zu nützlichen Tools und Anwendungen zu erhalten. Gleichzeitig profitieren die Unternehmen von einer höheren Produktivität und Innovation ihrer Mitarbeiter. Das Ziel im Umgang mit Shadow-IT besteht also nicht darin, die Nutzung zu verbieten, sondern die Risiken besser zu beherrschen. Der erste Schritt dazu ist die Ermittlung von Shadow-IT-Assets. Wie das Sprichwort sagt: "Man kann nicht schützen, was man nicht kennt".
Zum Glück verfügen wir heute über Tools, mit denen IT-Sicherheitsteams Shadow-IT-Assets identifizieren können. ForeNova's NovaCommand ist eine Network Detection and Response (NDR) Lösung, die durch passives Scannen alle mit dem Netzwerk verbundenen IT-Ressourcen erkennt. Zudem erkennt NovaCommand auch Schwachstellen, schwache Passwörter, unverschlüsselten Datenverkehr und unsachgemäße Konfigurationen, damit diese Risiken beseitigt werden, bevor Angreifer sie ausnutzen können.
Besuchen Sie die NovaCommand Produkt Seite, um mehr über die Funktionen und Möglichkeiten zu erfahren!