Schatten-IT ist ein Kostentreiber

Wie nicht genehmigte Anwendungen den Gewinn schmälern

Schatten-IT ist auf dem Vormarsch – und damit auch ihre Risiken

Schatten-IT — die Einführung von nicht genehmigter Hardware, Software, Anwendungen und Diensten innerhalb eines Unternehmens – plagt IT-Abteilungen schon lange. Ein kürzlich veröffentlichter Bericht von CORE Research hat ergeben, dass die Nutzung von Schatten-IT um 59 % zugenommen hat, seit Unternehmen das Modell der Remote-Arbeit weithin eingeführt haben. 54 % der IT-Teams beschreiben, dass ihr Unternehmen aufgrund dieses Anstiegs „erheblich stärker durch Datenschutzverletzungen gefährdet“ ist.

Warum erfreut sich Schatten-IT größerer Beliebtheit und wie lassen sich Beschäftige und Firmennetzwerke vor den damit einhergehenden Risiken schützen?

Zwei Gründe dafür sind der zunehmende Einsatz der Cloud und die Zunahme der Telearbeit. Die moderne Belegschaft ist zunehmend agil und verstreut und arbeitet von Standorten und Geräten aus, die die IT-Abteilung nur begrenzt einsehen und kontrollieren kann. Mitarbeiter, egal ob sie vor Ort oder aus der Ferne arbeiten, haben Vorlieben für Tools, die ihnen helfen, ihre Arbeit zu erledigen. Wenn diese Tools nicht mit der Liste der Anwendungen übereinstimmen, die die IT-Abteilung bereits genehmigt hat, oder wenn sie verwendet werden, um Lücken zu schließen, für die keine Tools bereitgestellt wurden, bedeutet dies für viele Unternehmen ein Problem.

Laut einer Umfrage von Stratecast und Frost & Sullivan übernehmen 80 % der Mitarbeiter SaaS-Anwendungen ohne Zustimmung der IT-Abteilung. Damit setzen sie ihr Unternehmensnetzwerk einer Vielzahl von Sicherheitsbedrohungen und Schwachstellen aus.

Bevor Unternehmen die Ausbreitung der Schatten-IT stoppen können, müssen sie jedoch erst einmal verstehen, a) was sie das kostet, b) warum ihre Mitarbeiter sie immer noch nutzen und c) welche Tools bei der Entdeckung und Abhilfe unterstützen können.

Die wahren Kosten von Schatten-IT

Im Jahr 2021 gab es beim IT-Management-Unternehmen Insight Global eine Datenschutzverletzung, die die personenbezogenen Informationen von etwa 70.000 Einwohnern Pennsylvanias offenlegte. Das Unternehmen wurde beauftragt, die staatliche Gesundheitsbehörde bei der Ermittlung von COVID-19-Kontakten zu unterstützen. Die gesammelten Informationen wurden jedoch kompromittiert, als Mitarbeiter „mehrere Google-Konten für den Austausch von Informationen als Teil eines 'nicht autorisierten Kooperationskanals' einrichteten“.

Die Gesundheitsbehörde von Pennsylvania konnte die durchgesickerten Daten nicht auf einen schwerwiegenden Missbrauch zurückführen. Dennoch unterstreicht der Vorfall, wie leicht Schatten-IT die Sicherheitslage eines Unternehmens schwächen kann.

Wenn die IT-Abteilung keinen Einblick in die von den Mitarbeitern verwendeten Tools und Konten hat, kann sie nicht sicherstellen, dass sensible Daten und Ressourcen innerhalb der Unternehmensgrenzen bleiben. Infolgedessen können sie Tools nicht auf Sicherheitsmängel prüfen, keine angemessenen Sicherheitskontrollen durchsetzen, den Datenverkehr nicht überwachen und einschränken, keine Compliance-Anforderungen erfüllen und keine Datenschutzverletzungen und Angriffe vorhersehen, die durch Schwachstellen in diesen nicht verwalteten Anwendungen und Diensten ausgelöst werden.

Anders als bei Insight Global sind die meisten Angriffe kostspielig und zeitaufwändig in der Behebung (laut IBM durchschnittlich 4,24 Millionen Dollar pro Datenschutzverletzung). Dies gilt insbesondere dann, wenn die IT-Abteilung nicht über die Anwendungen oder Konten informiert wird, die kompromittiert wurden. In einer Studie von Forbes Insights wurde jedes fünfte befragte Unternehmen Opfer eines Cyberangriffs aufgrund von Schatten-IT. Weniger als die Hälfte der Befragten war zuversichtlich, dass sich ihr Unternehmen von einem Cybervorfall ohne erhebliche geschäftliche Auswirkungen erholen könnte.

Nicht kontrollierte Schatten-IT erhöht nicht nur die Wahrscheinlichkeit von Cyberangriffen, sondern treibt auch andere Kosten in die Höhe. Die Remote-Arbeit nimmt zu, cloudbasierte Tools und Dienste werden immer häufiger eingesetzt. Dadurch macht die Einführung von Schatten-IT einen erheblichen Anteil der IT-Ausgaben in großen Unternehmen aus. In einer Umfrage von NetEnrich gaben 59 % der IT-Entscheidungsträger an, dass IT-Ausgaben und -Überschreitungen eine große Sorge für die Zukunft darstellen.

Was ist der Grund für die Nutzung von nicht-genehmigten Apps?

Die Kontrolle der Schatten-IT kann ein mühsamer Prozess sein, selbst für die sorgfältigste IT-Abteilung. Laut Productiv setzen Unternehmen im Durchschnitt 270 bis 364 SaaS-Anwendungen ein, wobei 52 % davon nicht genehmigte Anwendungen sind.

Bevor Unternehmen Maßnahmen ergreifen können, um die von der Schatten-IT ausgehenden Risiken zu erkennen und zu beseitigen, müssen sie verstehen, warum die Mitarbeiter sie dennoch einsetzen. Oft sind sich die Mitarbeiter nicht bewusst, dass die Verwendung von nicht verwalteten Tools, Geräten und Konten zu erheblichen Sicherheitslücken führen kann. Stattdessen fallen die Gründe für die Einführung von Schatten-IT in der Regel in eine der drei Kategorien:

  • Mitarbeiter bevorzugen Tools, die bequem und effektiv sind und sich für bestimmte Geschäftszwecke eignen. Stellt ein Unternehmen nicht die Werkzeuge und Ressourcen zur Verfügung, die die Mitarbeiter benötigen, werden sie sich ihre eigenen suchen. Laut IBM nutzen 67 % der Mitarbeiter von Fortune 1000-Unternehmen SaaS-Anwendungen, die nicht ausdrücklich von internen Abteilungen genehmigt wurden.

  • Mitarbeiter verstehen möglicherweise nicht, welche Cybersicherheitsrisiken Schatten-IT birgt. Die Mitarbeiter sind sich vielleicht nicht bewusst, dass sie für neue Tools die Genehmigung der IT-Abteilung einholen müssen. Sie wissen möglicherweise auch nicht, wie viel sie riskieren, wenn sie nicht genehmigte Anwendungen und Dienste in das Netzwerk einführen.

  • IT-Richtlinien und Genehmigungsverfahren können unklar oder nicht vorhanden sein. Die Genehmigung der IT-Abteilung einzuholen, kann aufgrund von Budgetbeschränkungen, Sicherheitsbedenken oder aus anderen Gründen schwierig, zeitaufwändig oder sogar unmöglich sein. Manche Unternehmen haben auch keine Richtlinien für die Einführung von Anwendungen festgelegt und ermutigen so ihre Mitarbeiter, neue Tools einzuführen, ohne die IT-Abteilung über deren Verwendung zu informieren.

Risiken von Schatten-IT reduzieren

Aufgrund der weiten Verbreitung und der sich wandelnden Natur der Schatten-IT gibt es keine pauschale Lösung, um Sicherheitslücken in nicht verwalteten Tools und Diensten zu erkennen und zu bekämpfen. Es gibt jedoch einige wichtige Strategien, die Unternehmen ergreifen können, um ihre Verbreitung und Auswirkungen zu minimieren, darunter die folgenden:

  1. Einführen einer Lösung zur Entdeckung von Schatten-IT. Entdeckung von Schatten-IT kann der IT-Abteilung helfen, alle im Netzwerk genutzten Anwendungen aufzuspüren und zu protokollieren. Darunter auch solche, die die Mitarbeiter noch nicht offengelegt haben. Sobald die IT-Abteilung alle zugelassenen und nicht zugelassenen Tools katalogisiert hat, kann sie diese auf Sicherheitsmängel oder Fehlkonfigurationen prüfen, Zugriffs- und Datenschutzrichtlinien vorgeben und den Zugriff der Mitarbeiter auf diese Tools effektiver verwalten.

  2. Mitarbeiter hinsichtlich Cybersicherheit schulen. Indem Sie Ihre Mitarbeiter über die Risiken von nicht genehmigten Tools und Konten aufklären, können Sie die Einführung von Schatten-IT weitgehend verhindern.

  3. Einführen von internen Schatten-IT-Richtlinien. Durch die Festlegung von Richtlinien für die Einführung neuer Technologien und die kontinuierliche Information der Organisation über diese Richtlinien kann die IT-Abteilung neue Anwendungen und Dienste gründlich prüfen, bevor sie eingeführt werden. Dadurch wird die Ausbreitung der Schatten-IT effektiv verlangsamt oder gestoppt. Und durch die Festlegung konkreter Schritte für die Einführung und Verwaltung neuer Anwendungen und Tools können Unternehmen die Frustration ihrer Mitarbeiter verringern und ihnen helfen, effizienter mit den Tools zu arbeiten, die sie für ihre Arbeit benötigen.

Schatten-IT mit Cloudflare bekämpfen

Eine effektive Verteidigung gegen Schatten-IT beginnt mit Zero Trust: ein Sicherheitsmodell, das auf dem Prinzip basiert, dass keinem Benutzer oder Gerät von Natur aus genehmigt werden sollte, auf Unternehmensressourcen zugreifen zu können. Indem sie Zero Trust-Kontrollen vor Unternehmensressourcen platzieren, können Unternehmen sicherstellen, dass ihre Mitarbeiter nur über sanktionierte Konten auf sanktionierte Anwendungen zugreifen können. Dadurch wird es für Benutzer schwieriger, Daten über nicht sanktionierte Anwendungen anzuzeigen, freizugeben und zu verschieben.

Cloudflare Zero Trust gibt der IT-Abteilung volle Transparenz und Kontrolle über zugelassene und nicht zugelassene Anwendungen und trägt dazu bei, die Risiken der Schatten-IT und andere Sicherheitsbedenken zu minimieren.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

  • Warum Schatten-IT um 59 % zugenommen hat

  • Was 80 % der Mitarbeiter dazu bewegt, nicht genehmigte SaaS-Anwendungen zu nutzen

  • Warum jede fünfte Firma wegen Schatten-IT einen Cyberangriff verzeichnet

  • 3 wichtige Strategien zur Minimierung der Einführung von Schatten-IT

Vertiefung des Themas


Vertiefung des Themas

Sie möchten mehr darüber erfahren, wie Cloudflare die Schatten-IT eindämmt? Holen Sie sich die Kurzbeschreibung der Lösung: Sichtbarkeit und Kontrolle jeder SaaS-Anwendung dank Zero Trust.

Get the solution brief!

Erhalten Sie eine monatliche Zusammenfassung der beliebtesten Internet-Insights!