robsonphoto - stock.adobe.com

Typische Risiken der Schatten-IT und wie man damit umgeht

Wenn Mitarbeiter nicht zugelassene Geräte, Dienste und Anwendungen nutzen, vergrößern sie die Angriffsfläche des Unternehmens erheblich. IT-Teams müssen das Thema ernst nehmen.

Schatten-IT ist eine Einladung an alle Angreifer. Die Verwendung nicht autorisierter Geräte, Dienste und Software ohne Zustimmung der IT-Abteilung birgt eine Reihe von Gefahren, die niemand auf die leichte Schulter nehmen sollte.

Mitarbeiter nutzen Schatten-IT, wenn sie mit den Bemühungen und Angeboten der IT-Abteilung nicht zufrieden sind. Das kann in zu langen Reaktionszeiten bei Problemanfragen begründet sein oder in der offiziellen Ablehnung von bestimmten Anwendungen. Doch der Verlust der Kontrolle über den IT-Betrieb kann für CIOs, IT-Verantwortliche und andere leitende IT-Führungskräfte verheerende Folgen haben.

Nachfolgend haben wir sechs typische Risiken von Schatten-IT (Shadow IT) zusammengefasst, gepaart mit Richtlinien, die IT-Teams helfen, diese Gefahren zu entschärfen.

Unbefugter Zugriff auf Daten

Ein wichtiger Punkt bei der Auditkontrolle ist die Sicherstellung, dass nur autorisierte Anwender auf IT-Systeme und -Ressourcen zugreifen können. Es gibt viele verschiedene Zugriffskontrollen und Technologien, um die Einhaltung von Vorschriften und Standards zu gewährleisten. Wenn jedoch unbefugter Zugriff auf produktive Systeme möglich ist, besteht die Gefahr von Datenverlusten, Diebstahl von Informationen, dem Einschleusen von Malware und andere Bedrohungen. Darüber hinaus bedeutet dies häufig auch einen Verstoß gegen Vorschriften wie die DSGVO.

Unbefugte Änderungen an Daten

Personen mit unberechtigtem Datenzugriff können potenziell sensible Daten, wie Kundendaten, Datenbanken und Inhalte, die für den Geschäftsbetrieb unabdingbar sind, mit potenziell katastrophalen Auswirkungen ändern. Die Änderung eines einzigen Zeichens in einer Gesundheitsakte eines Patienten könnte zum Beispiel zu einer Fehldiagnose oder zur Verschreibung eines falschen Medikamentes führen.

Einschleusen schadhaften Codes

Wenn Schatten-IT im Unternehmen genutzt wird, kann es versehentlich oder auch absichtlich dazu kommen, dass nicht sicherer Code in produktive Systeme gelangt. IT-Teams können so nicht nachvollziehen, welche Software mit welchen Sicherheitsproblemen, wo genutzt wird.

Ordnungsgemäßes Einspielen von Sicherheits-Updates nicht möglich

Das zeitnahe Einspielen von Sicherheits-Updates und Patches ist eine der wichtigsten Säulen der IT-Sicherheit für produktive Systeme. Unternehmen müssen sicherstellen, dass in Bezug auf Security alle produktiv genutzten Systeme auf dem aktuellen Stand sind. Werden nicht autorisierte Systeme oder Anwendungen genutzt, kann dies für diese nicht gewährleistet oder überprüft werden. Das kann die Angriffsfläche eines Unternehmens erheblich vergrößern.

Compliance-Probleme

Unternehmen unterliegen einer Reihe von Regularien und Vorschriften. Dazu gehören ganz allgemeine wie die Datenschutz-Grundverordnung als auch branchenspezifische Regularien. Schatten-IT-Aktivitäten können für Daten und Systeme ein Risiko darstellen, die einen Verstoß gegen eine Reihe von Compliance-Vorschriften bedeuten können. Diese Nichteinhaltung der Vorgaben kann rechtliche Folgen und auch Bußgelder nach sich ziehen.

Security-Risiken

IT-Teams haben ohnehin alle Hände voll zu tun, die regulären Systeme und Anwendungen in Sachen Sicherheit auf einem angemessenen Niveau zu halten. Jede Aktivität in Sachen Schatten-IT kann Löcher in eine Sicherheitsstrategie reißen und für Sicherheitslücken im Unternehmen sorgen. Da die entsprechende Nutzung je nach Art unter dem Radar von Sicherheitskontrollen stattfinden kann, gefährdet dies unter Umständen den gesamten Geschäftsbetrieb.

Die Risiken der Schatten-IT in den Griff bekommen

Sorgfalt und Aufmerksamkeit sind zwei wichtige Eigenschaften, die dabei helfen können, potenzielle Schatten-IT-Aktivitäten zu erkennen. Wenn sich beispielsweise Beschwerden über IT-Support-Aktivitäten häufen, können IT-Teams diese Angaben analysieren, etwa ob diese bei bestimmten Systemen oder Mitarbeitern gehäuft auftauchen. Geht es um Leistungsprobleme, sollte überwacht werden, ob nach einer Verbesserung der Situation die Beschwerden zurückgehen.

Denn nicht funktionierende Systeme oder lange Antwortzeiten können dazu führen, dass Anwender sich nach Alternativen umsehen und auf eigene Lösungen setzen. Und genau dieser Einsatz von Schatten-IT kann dann wiederum dazu führen, dass es zu Problemen und Störungen mit den regulären Systemen kommt. Daher ist eine aufmerksame Analyse des Helpdesk eine gute Möglichkeit, Probleme und Risiken rechtzeitig zu erkennen.

Zu den Maßnahmen, die die Risiken von Schatten-IT reduzieren können, zählen folgende:

  • Das Verzeichnis der genutzten Systeme, Dienste und Anwendungen muss immer auf dem neuesten Stand sein.
  • Nicht bekannte Systeme sollten durch Monitoring-Lösungen zu erkennen sein.
  • Das Thema Schatten-IT und die Risiken sollten übergreifend immer wieder zur Sprache gebracht werden.
  • Firewalls sollten so konfiguriert sein, dass sich verdächtiger Datenverkehr erkennen lässt.
  • Vorhandene IDS- und IPS-Lösungen (Intrusion Detection und Intrusion Prevention) sollten immer auf dem neuesten Stand sein.
  • Die Mitarbeiter sollten kontinuierlich für die Gefahren sensibilisiert werden, so dass sie auch Auffälligkeiten bei Anwendungen dem Helpdesk mitteilen.
  • Die IT-Abteilung sollten die Führungsebene in das Thema kontinuierlich einbeziehen.
  • Dienstleister müssen gleichfalls angehalten werden, das IT-Team über verdächtige Aktivitäten auf dem Laufenden zu halten.
  • Die Funktionen zum Aufspüren von Schatten-IT, die etwa von Cloud-Anbietern angeboten werden, sollten auch genutzt werden.
  • Es sollten Richtlinien im Hinblick auf das Thema Schatten-IT festgelegt werden, die Personalabteilung und der Betriebsrat sollten in entsprechende Regelungen einbezogen werden.
  • Etwaige BYOD-Richtlinien (Bring Your Own Device) etablieren, um das Thema in geregelte Bahnen zu lenken.
  • Es sollten Tools zum Einsatz kommen, die das Erkennen der Nutzung von Schatten-IT erleichtern.

Das Thema Schatten-IT ernst nehmen

Schatten-IT ist eine sehr ernste Bedrohung für die IT-Sicherheit eines Unternehmens und damit auch für den Geschäftsbetrieb. Da diese Aktivitäten oft aus einer Unzufriedenheit mit der unternehmenseigenen IT oder der Arbeit der IT-Abteilung entstehen, sollte die Ursachenforschung ein wichtiger Faktor bei der Reduzierung der Risiken sein.

Erfahren Sie mehr über Datenschutz und Compliance