sommersby - stock.adobe.com

Cloud-basierte Schatten-IT in den Griff bekommen

Die Gefahr durch Schatten-IT wird oft unterschätzt. Dabei ist für die Mitarbeiter ein Leichtes, nicht autorisierte Cloud-Apps einzusetzen. So bekommen Sie das Problem in den Griff.

Immer mehr betriebliche Aktivitäten spielen sich in der Cloud ab, seien es die Buchhaltung, die Verwaltung von Projekten, Backups wichtiger Daten bis zur gesamten Unternehmensplanung. Die Vorteile der Cloud-basierten IT sind mittlerweile nahezu jedem bekannt: Einsparung von Kosten, einfaches Setup, Flexibilität und Mobilität, um nur einen wesentlichen Teil zu nennen.

Im gleichen Zuge ist jedoch ein bedeutendes Sicherheitsproblem entstanden, das die meisten Unternehmen nur schwer in den Griff bekommen: die unerlaubte Nutzung von Schatten-IT aus der Cloud. Im Kern handelt es sich bei Schatten-IT um Hard- oder Software, die von einzelnen Mitarbeitern oder ganzen Abteilungen genutzt werden, ohne dass es dafür eine Genehmigung der IT-Abteilung gibt. Dadurch entsteht eine Situation, in der sich geschäftliche Daten außerhalb der geschützten Zonen befinden, die eigentlich durch die Administratoren errichtet wurden.

Zwar ist es in der Regel unwahrscheinlich, dass die Personalabteilung eines Unternehmens eigenmächtig einen Cloud-basierten Schattendienst einrichtet, um die Gehälter der Mitarbeiter zu verwalten. Wenn es aber um das breite Feld der Zusammenarbeit miteinander geht, sieht die Situation ganz anders aus. Oft handeln die Mitarbeiter dann eigenmächtig und kümmern sich selbst um einen geeigneten Dienst für ein aktuelles Projekt oder eine wichtige Aufgabe, falls die IT-Abteilung zu langsam bei der Einrichtung eines Accounts für den benötigten Dienst ist. Das gleiche geschieht häufig, wenn Mitarbeiter der Meinung sind, dass es einen anderen, besser geeigneten Dienst für ihre Zwecke gibt. Viele der online angebotenen Collaboration-Dienste bieten sogar eine kostenlose Variante an, die bereits die meisten Funktionen umfasst, die ein kleines Team zur Steuerung eines Projekts benötigt, um Dateien miteinander zu teilen oder um von jedem beliebigen Ort aus daran arbeiten zu können. Auch neue Mitarbeiter gehen häufig diesen Weg, wenn sie über keine Erfahrungen mit der offiziell freigegebenen App verfügen und sie keine Zeit damit verlieren wollen, sich erst mit der ungewohnten Oberfläche zu beschäftigen.

Nach Erkenntnissen des Beratungsunternehmens Everest Group entfallen rund 50 Prozent oder mehr der IT-Ausgaben in großen Unternehmen mittlerweile auf Schatten-IT. Ergänzend dazu sagte das Marktforschungsunternehmen Gartner bereits 2016 voraus, dass sich bis 2020 ein Drittel der erfolgreichen Angriffe gegen Firmen gegen die versteckten Schatten-IT-Dienste richten werden.

Wie sich das Risiko durch nicht autorisierte Schatten-IT aus der Cloud senken lässt

Es gibt viele Möglichkeiten, um gegen die Schatten-IT aus der Cloud vorzugehen. Nur ein gründlich geplantes Vorgehen wird das Problem jedoch auf Dauer lösen.

Das Security Awareness Training der Mitarbeiter sollte sich auch auf die Risiken für das Unternehmen konzentrieren, die mit der Schatten-IT aus der Cloud einhergehen. So profitiert zum Beispiel ein Zuhause aufgesetzter Mail-Server von keiner der Sicherheitsmaßnahmen und auch nicht von dem physischen Schutz, über die die On-Premises untergebrachten Server verfügen. Zudem verletzt er vermutlich eine ganze Reihe an rechtlichen und anderen Compliance-Vorgaben, die das Unternehmen einzuhalten hat. Wenn alle Mitarbeiter die durchaus triftigen Gründe dafür verstanden haben, warum sie nur autorisierte Anwendungen nutzen sollten, dann sind sie weit eher dazu bereit, diese Vorgaben auch wirklich einzuhalten. Das gilt insbesondere auch dann, wenn sie mit den disziplinarischen Konsequenzen vertraut sind, die bei Nichteinhaltung der Regelungen zur Schatten-IT drohen. Darüber hinaus sollte eine leicht nachzuvollziehende Prozedur im Unternehmen eingerichtet werden, für den Fall, dass Abteilungen, Teams oder einzelne Personen Ressourcen für neue Projekte benötigen oder wenn sie alternative Dienste einsetzen wollen.

Ein Vertrauen auf die Einhaltung der geltenden Richtlinien ist jedoch nicht ausreichend. Die Unternehmen sollten dazu in der Lage sein, genau zu überwachen, auf welche Dienste wirklich zugegriffen wird. Nicht freigegebene oder unterstützte Services sollten blockiert werden können. Tools wie Cloud App Security von Microsoft, die Cloud Security Tools von Alpin und die Schatten-IT-Lösungen von CloudCodes spüren die Cloud-Anwendungen auf, die von den Anwendern genutzt werden und sperren dann diejenigen, die nicht explizit genehmigt wurden.

Eine weitere Sicherheitsebene bieten Lösungen, die sich auf die eigentlichen Daten in einem Unternehmen konzentrieren. So können Tools wie etwa Vera for Files dazu verwendet werden, Zugriffe auf Dateien in Echtzeit zu überwachen. Dadurch lassen sich alle Arten von Inhalten schützen, unabhängig davon, wo und wann sie gespeichert wurden. Es ist sogar möglich, nachträglich den Zugriff zu verbieten, wenn Daten kopiert, weitergeleitet oder online mit anderen geteilt wurden.

Unternehmen, die einen nicht genehmigten Einsatz von Cloud-basierten Schatten-IT-Diensten vermuten, sollten zunächst eine zeitlich begrenzte Amnestie erwägen, so dass die betroffenen Mitarbeiter keine Angst vor Konsequenzen wie etwa einer Entlassung haben müssen. Diese Maßnahme ermöglicht es der IT-Abteilung, das Problem unter Kontrolle zu bringen, während weitere Schritte eingeleitet werden können, um die erneute Verbreitung der Schatten-IT zu verhindern. Außerdem bietet sich dadurch die Möglichkeit, herauszufinden, welche Dienste unter den Mitarbeitern besonders beliebt sind und welche sich für einen breiteren und diesmal aber offiziell erlaubten Einsatz im Unternehmen eignen.

Nächste Schritte

Gratis-eBook: Cloud-Sicherheit planen und umsetzen

Zero Trust for Cloud-Workloads umsetzen

Dem Sicherheitsrisiko Shadow-IT begegnen

Erfahren Sie mehr über IT-Sicherheits-Management