Was ist Schatten-IT?
Der Begriff „Schatten-IT“ bezieht sich auf die nicht genehmigte Nutzung von Software, Hardware oder anderen Systemen und Diensten innerhalb eines Unternehmens, oft ohne Wissen der IT-Abteilung. Im Gegensatz zur Standard-IT-Infrastruktur wird Schatten-IT nicht intern von dem Unternehmen verwaltet.
Schatten-IT kann auf unterschiedliche Weise in ein Unternehmen eindringen, aber normalerweise geschieht dies durch eine von zwei Aktionen:
- Verwendung eines nicht genehmigten Tools, um auf Unternehmensdaten zuzugreifen, sie zu speichern oder freizugeben. Wenn ein Unternehmen beispielsweise ausschließlich Google Workspace für die gemeinsame Nutzung von Dateien zugelassen hat, könnte ein Mitarbeiter Schatten-IT in das Unternehmen einführen, indem er Dateien über Microsoft 365 freigibt.
- Unerlaubter Zugriff auf ein genehmigtes Tool. Um das Beispiel fortzusetzen: Wenn eine IT-Abteilung die Nutzung von Google Workspace über vom Unternehmen verwaltete Konten genehmigt hat, kann ein Mitarbeiter eine Schatten-IT in das Unternehmen einführen, indem er stattdessen über ein nicht verwaltetes persönliches Konto auf Google Workspace zugreift.
Unabhängig davon, ob die Einführung von Schatten-IT beabsichtigt ist oder nicht, verursacht sie ernsthafte Sicherheitsrisiken und Kosten. Sie erhöht das Risiko von Datenschutzverletzungen, Diebstahl und anderen Cyberangriffen und hält IT-Teams davon ab, möglichen Schaden mit kritische Maßnahmen zu begrenzen.
Warum nehmen die Nutzer Schatten-IT an?
Angesichts der unzähligen Sicherheitsrisiken von Schatten-IT mag es überraschen, dass Mitarbeiter bei der Einführung neuer Tools die IT-Genehmigung umgehen wollen. Die Gründe dafür können wie folgt aussehen:
- Die Mitarbeiter sind sich der Sicherheitsrisiken der Schatten-IT nicht bewusst. Die Mitarbeiter wollen möglicherweise nicht absichtlich die von ihrer IT-Abteilung eingerichteten Kontrollen umgehen, sondern wissen einfach nicht, dass ihre Handlungen sensible Unternehmensdaten kompromittieren und das Risiko von Datenschutzverletzungen und Angriffen erhöhen können.
- Den Mitarbeitern sind die Vorteile nicht genehmigter Tools wichtiger. Die besten Tools für die Aufgaben sind möglicherweise nicht diejenigen, die ausdrücklich von der IT-Abteilung eines Unternehmens genehmigt wurden. So greifen Mitarbeiter oft auf zusätzliche Dienste zurück, um einen bestimmten Geschäftsbedarf zu erfüllen, einen Wettbewerbsvorteil auf ihrem Markt zu erlangen oder effizienter zusammenzuarbeiten.
- Mitarbeiter verwenden nicht zugelassene Tools für böswillige Aktivitäten. Die meisten Schatten-IT-Anwendungen werden nicht zu böswilligen Zwecken eingesetzt. Einige Mitarbeiter könnten jedoch versuchen, mithilfe nicht zugelassener Anwendungen und Tools Daten zu stehlen, auf vertrauliche Informationen zuzugreifen oder andere Risiken für das Unternehmen zu verursachen.
Welche Risiken bringt Schatten-IT mit sich?
Auch wenn Schatten-IT einigen Angestellten die Arbeit erleichtern mag, überwiegen die Nachteile die Vorteile deutlich. Wenn IT-Teams nicht nachverfolgen können, wie Tools und Dienste in ihrem Unternehmen genutzt werden, ist ihnen möglicherweise nicht bewusst, in welchem Umfang Schatten-IT das Unternehmen durchdrungen hat – und sie haben keine Ahnung, wie auf Unternehmensdaten zugegriffen wird. Sie wissen auch nicht, wie sie gespeichert und übertragen werden.
Die Verwendung von Schatten-IT führt auch dazu, dass IT-Teams die Kontrolle über die Verwaltung und Bewegung von Daten verlieren. Wenn Mitarbeiter nicht genehmigte Dienste implementieren oder innerhalb genehmigter Dienste mit nicht genehmigten Methoden arbeiten, können sie sensible Daten einsehen und verschieben, ohne dass die IT-Abteilung sie angemessen kontrolliert. Infolge dieser mangelnden Sichtbarkeit und Kontrolle kann Schatten-IT zusätzliche Risiken schaffen, darunter die folgenden:
- Sensible Daten können kompromittiert oder gestohlen werden. Angreifer können Konfigurationsfehler und Schwachstellen in den in der Cloud gehosteten Diensten ausnutzen und so die Tür für Datenschutzverletzungen und andere Cyberangriffe öffnen. Diese Angriffe geschehen dann möglicherweise ganz ohne das Wissen der IT-Abteilung, insbesondere wenn sie auf nicht genehmigte (und eventuell ungesicherte) Anwendungen und Tools abzielen. Diese Angriffe zu beheben, kann kostspielig sein: In einer Studie aus dem Jahr 2020 schätzte IBM, dass Datenschutzverletzungen, die durch Fehlkonfigurationen in der Cloud verursacht wurden, durchschnittlich 4,41 Millionen US-Dollar kosteten.
- Unternehmen können unwissentlich gegen Datenschutzgesetze verstoßen. Für Unternehmen, die Datenschutzbestimmungen einhalten müssen (z. B. die DSGVO), ist es zwingend erforderlich, die Verarbeitung und Weitergabe von Daten zu verfolgen und zu kontrollieren. Wenn Mitarbeiter nicht zugelassene Tools für den Umgang mit sensiblen Daten verwenden, setzen sie ihr Unternehmen unbeabsichtigt dem Risiko aus, gegen diese Gesetze zu verstoßen. Das kann zu hohen Strafen und Bußgeldern führen.
Wie können Unternehmen Schatten-IT erkennen und beseitigen?
Es gibt mehrere Schritte, die ein IT-Team unternehmen kann, um die Auswirkungen von Schatten-IT in seinem Unternehmen zu minimieren:
- Implementieren Sie die Erkennung von Schatten-IT. Ein Tool zur Erkennung von Schatten-IT kann IT-Teams dabei helfen, alle derzeit genutzten Systeme und Dienste – sowohl die genehmigten als auch die nicht genehmigten – zu erkennen, zu verfolgen und zu analysieren. Anschließend können IT-Teams Richtlinien erstellen, um die Nutzung dieser Tools je nach Bedarf zu erlauben, einzuschränken oder zu blockieren.
- Verwenden Sie einen Cloud Access Security Broker (CASB). Ein CASB hilft bei der Absicherung von in der Cloud gehosteten Anwendungen und Diensten durch gebündelte Sicherheitstechnologien. Dazu gehören die Erkennung von Schatten-IT, Zugriffskontrolle, Data Loss Prevention (DLP), Browserisolierung und mehr.
- Verbessern Sie das Risikomanagement-Training für Mitarbeiter. Mitarbeiter sind sich der Sicherheitsrisiken von Schatten-IT oft nicht bewusst. Wenn Sie Ihren Nutzern die Best Practices in Schulungen nahelegen, verringern Sie die Wahrscheinlichkeit, dass Ihre Daten kompromittiert oder gestohlen werden. Zu den Best Practices gehören Aspekte wie keine Verwendung privater E-Mail-Adressen für den Zugriff auf Unternehmensressourcen, Offenlegung der Verwendung nicht genehmigter Hardware und Software, Meldung von Datenverletzungen usw.
- Sprechen Sie mit Ihren Mitarbeitern über die Tools, die sie benötigen. Mitarbeiter wissen oft, welche Tools für ihre Arbeit am besten geeignet sind, fühlen sich aber vielleicht nicht wohl dabei, die IT-Abteilung aufgrund von Budgetbeschränkungen oder anderen Bedenken um eine ausdrückliche Genehmigung zu bitten. Die Anregung solcher Gespräche und die Einführung einer „No Blame“-Kultur (für diejenigen, die bereits Schatten-IT eingeführt haben) können dazu beitragen, eine offenere und sichere Arbeitsumgebung zu schaffen.
Was ist eine Richtlinie für Schatten-IT?
Eine Schatten-IT-Richtlinie hilft bei der Erstellung von Protokollen für die Einführung, Genehmigung und Verwaltung neuer Hardware und Software in einem Unternehmen. IT-Abteilungen erstellen diese Richtlinien und passen sie an, je nachdem, wie sich die Sicherheitsrisiken und die Bedürfnisse des Unternehmens entwickeln.
Schatten-IT-Richtlinien sind einer von mehreren notwendigen Schritten, um Systeme und Dienste innerhalb einer Organisation zu kontrollieren und zu verwalten und dabei gleichzeitig die Einführung nicht genehmigter Tools zu vermeiden.Viele Unternehmen haben jedoch noch immer keine standardisierten Richtlinien für Schatten-IT. In einer Umfrage, die Entrust unter 1.000 US-amerikanischen IT-Fachleuten durchgeführt hat, gaben 37 % der Befragten an, dass es in ihren Unternehmen keine klaren Konsequenzen für die Nutzung von Schatten-IT gibt.
Wie schützt Cloudflare vor Schatten-IT?
Cloudflares Zero Trust Security Suite hilft IT-Abteilungen, nicht zugelassene Tools in ihren Unternehmen leicht zu entdecken, zu katalogisieren und zu verwalten. Erfahren Sie mehr darüber , wie Cloudflare Schatten-IT erkennt.