robsonphoto - stock.adobe.com
So können IT-Teams die Schatten-IT in den Griff bekommen
Die einfache Verfügbarkeit von Cloud-Diensten hat der Schatten-IT neuen Schub verliehen. Folgende Tipps helfen CIOs, dabei diese Aktivitäten zu identifizieren und zu regeln.
Wohl jeder IT-Verantwortliche oder CIO hat es bereits erlebt, dass das IT-Team Systeme entdeckt, die außerhalb des Zuständigkeitsbereiches der Abteilung betrieben werden. Diese so genannte Schatten-IT gibt es nicht erst seit der zunehmenden Nutzung von Cloud-Diensten.
Die Nutzung nicht sanktionierter Geräte oder Software ist so alt wie die Nutzung der IT selbst sein. Die Motivation der Anwender dürfte häufig darin begründet sein, dass sie sich die Arbeit mit dem entsprechenden Werkzeug erleichtern wollen. Was dafür spricht, dass sie mit der entsprechenden Versorgung durch die IT nicht zufrieden zu sein scheinen.
Mit der zunehmenden Verfügbarkeit Cloud-basierter Dienste hat das Thema Schatten-IT viele neue Facetten bekommen. Das ist ein ernstes Thema für die Gesamtsicherheit eines Unternehmens und muss dementsprechend beim Risikomanagement berücksichtigt werden.
Die Folgen von Schatten-IT
Wenn man bedenkt, wie komplex sich die IT in den letzten Jahren inklusive der Cloud-Möglichkeiten entwickelt hat, ist interne und externe Transparenz wichtiger denn je. IT-Teams müssen wissen, welche Dienste genutzt werden und diese auch richtig verwalten. Nachfolgend ein paar typische Aspekte, auf die man beim Thema Schatten-IT achten sollte und einige Tipps, wie man diese Problematik in den Griff bekommen kann.
Für die meisten CIOs genießt eine reibungslos funktionierende IT die höchste Priorität. Selbstredend sollte diese IT gesetzeskonform, sicher und soweit wie möglich frei von Risiken sein. Beim Aspekt Sicherheit wird auf alle Bedrohungen geachtet, die Vertraulichkeit, Integrität oder die Verfügbarkeit von Informationen gefährden könnten. Eine nicht genehmigte Installation von Systemen, sei es intern oder über die Cloud, stellen einen möglichen unberechtigten Zugang zu internen Systemen dar. Aus dem Blickwinkel des Risikomanagements ist die Schatten-IT eine ganz besondere Herausforderung und sollte dementsprechende Aufmerksamkeit erhalten.
Die zunehmende Verfügbarkeit und Bedeutung Cloud-basierter Lösungen, hat zu völlig neuen Möglichkeiten bei Schatten-IT-Aktivitäten geführt. Das gilt für SaaS (Software as a Service), IaaS (Infrastructure as a Service) und PaaS (Platform as a Service) gleichermaßen. Diese Möglichkeiten ergänzen die früheren Formen der Schatten-IT, die sich meist auf traditionelle Hard- und Software beschränkt hat. In vielen Umgebungen genügt eine Internetverbindung, damit ein Anwender mit begrenztem Aufwand auf die von ihm gewünschte Cloud-basierte Ressourcen Zugriff hat.
Welche Risiken bringt Schatten-IT mit sich?
Es ist eine große Herausforderung, die heute nahezu beliebig komplexen IT-Umgebungen mit ihren inhärenten Risiken und Schwachstellen vollständig im Blick zu behalten und zu verwalten. Dabei können durch Schatten-IT folgende Probleme entstehen:
- Schwachstellen und Sicherheitslücken, die zu Datenverlust oder zu Problemen bei der Datenintegrität führen können;
- Das Einbringen vom schadhaften Code in die eigene IT-Umgebung;
- Unbefugter Zugriff auf Daten, der dafür verantwortlichen Admins die Arbeit erschwert;
- Unberechtigte Änderungen von Daten, die ohne Schatten-IT nicht möglich wären;
- Schwierigkeiten, allen Anwendungen und Dienste mit den notwendigen Sicherheits-Updates und Patches zu versorgen;
- Probleme bei der Einhaltung gesetzlicher und regulatorischer Vorschriften wie beispielsweise der DSGVO;
- Negative Auswirkungen auf den Geschäftsbetrieb, durch den Einsatz von Systemen, die nicht von der IT-Abteilung geprüft und freigegeben sind;
- Sicherheitslücken, die Cyberkriminellen den Fernzugriff erleichtern können.
Welche Faktoren führen zu Schatten-IT?
Anwender haben aus ihrem Blickwinkel meist gute Gründe, sich für den Einsatz von Diensten und Systemen zu entscheiden, die nicht von der IT bereitgestellt wurden. In der Regel geht es schlicht und einfach darum, die alltägliche Arbeit einfacher, besser oder schneller zu erledigen. Und offensichtlich eignen sich dann manchmal andere Lösungen besser, als die bereitgestellten. Natürlich sollten die Fachabteilungen und Anwender zunächst die IT um Rat fragen, wenn sie eine bestimmte Aufgabe lösen wollen. Und die IT sollte ihrerseits prüfen, ob es etwa möglich ist eine geeignete Option zur Verfügung zu stellen. Dies kann im Falle einer gesonderten Softwareentwicklung relativ viel Zeit erfordern.
Der Faktor Zeit kann auch einer der Gründe sein, warum sich ein Fachanwender entschließt, die IT zu umgehen und sich eine eigene Lösung zu beschaffen, um einfach schneller loslegen zu können. Und nicht zuletzt kann es auch funktionelle Gründe geben, die für die gewählte Lösung sprechen. Vielleicht ist der Anwender damit tatsächlich in der Lage, seiner eigentlichen Tätigkeit besser nachzugehen und somit produktiver.
Tipps damit man Schatten-IT in den Griff bekommt
Bevor man sich daran machen kann, die genutzte Schatten-IT in den Griff zu bekommen und ordentlich zu verwalten. Nachfolgend haben wir 14 Tipps zusammengestellt, mit deren Hilfe man dem Problem Schatten-IT begegnen kann.
- Verwenden Sie Monitoring-Programme, um IP-Adressen in ihrer Umgebung aufzuspüren, die nicht in der Liste der bekannten IP-Adressen enthalten sind.
- Führen Sie ein stets aktuelles Inventar aller Ressourcen der eigenen IT-Infrastruktur und aktualisieren Sie dies kontinuierlich mit entsprechenden Lösungen.
- Sensibilisieren Sie alle Mitglieder des IT-Teams für die Problematik und nehmen Sie das Thema bei regelmäßigen Meetings als wiederkehrenden Tagesordnungspunkt auf.
- Überprüfen Sie jeden verdächtigen eingehenden und ausgehenden Netzwerkverkehr über die Firewalls im Hinblick auf mögliche Schatten-IT-Aktivitäten.
- Analysieren Sie alle Aktivitäten, die von IDS/IPS-Systemen (Intrusion Detection/Intrusion Prevention) gemeldet werden unter diesem Aspekt.
- Informieren Sie regelmäßig alle Mitarbeiter regelmäßig über die Problematik und auch über aufgespürte Schatten-IT-Aktivitäten als exemplarische Beispiele.
- Sensibilisieren Sie alle Führungskräfte und die Geschäftsleitung für diese Schatten-IT-Aktivitäten und die vom IT-Team ergriffenen Maßnahmen. Es ist wichtig, dass hier alle an einem Strang ziehen.
- Arbeiten Sie diesbezüglich auch mit den Cloud-Anbietern zusammen, mit denen feste Vertragsverhältnisse bestimmen, damit sie von dort ebenfalls Informationen bei verdächtigen Aktivitäten erhalten.
- Erkundigen Sie sich in diesem Zusammenhang, welche Möglichkeiten die Cloud-Provider diesbezüglich zur Verfügung stellen.
- Legen Sie Richtlinien und Protokolle für den Umgang mit Schatten-IT-Aktivitäten fest. Dabei gilt es diese mit Betriebs- oder Personalrat sowie Personalabteilung und Rechtsabteilung abzustimmen.
- Wenn es im Unternehmen Richtlinien zur Verwendung eigener Geräte gibt (BYOD), dann überprüfen Sie diese im Hinblick auf Schatten-IT-Aktivitäten.
- Im Vorfeld eines IT-Audits, sollte man sich der Fragen der Prüfer hinsichtlich Schatten-IT-Aktivitäten bewusst sein und entsprechend gut vorbereitet agieren. Schließlich stellen diese potenziellen Sicherheitsrisiken und Probleme bei der Zugangskontrolle dar.
- Evaluieren Sie Werkzeuge in dem Bereich CASB (Cloud Access Security Broker) im Hinblick auf die Erkennung oder Vermeidung von Schatten-IT-Aktivitäten.