Was ist Schatten-IT und warum stellt sie ein Risiko für Unternehmen dar?

Schatten-IT, oder zu Englisch „Shadow IT“, beschreibt Systeme, Apps oder Cloud-Dienste, die ohne Wissen oder Zustimmung der IT-Abteilung von Mitarbeitern eines Unternehmens genutzt werden.

Es ist eine Situation, die in den meisten Unternehmen vorkommt und für erhebliche Sicherheitslücken sorgen und so ein recht hohes Risiko darstellen kann.

Grundsätzlich kann man davon ausgehen, dass Mitarbeiter in bestem Wissen und Gewissen handeln – also nicht bewusst unsichere oder datenschutzrechtlich kritische Software installieren und nutzen würden.

Doch das Handeln nach bestem Wissen und Gewissen ist nicht immer genug, sodass laut Statista im Jahr 2019 40 % der befragten Unternehmen angeben, in den letzten drei Jahren mit einem oder mehreren Fällen von Cyberkriminalität, Hacking oder Datendiebstahl zu tun hatten – ein Problem, das nicht nur Zeit und Nerven kostet, sondern auch teuer ist und unter Umständen das Vertrauen von Kunden und Partnern und damit den Ruf des Unternehmens nachhaltig schädigen kann.

Neben den beschriebenen Sicherheitsrisiken gibt es auch weitere Nachteile und Probleme mit der Verbreitung von Schatten-IT im Unternehmen, zum Beispiel:

• (versehentlich) doppelte Software-Anschaffungen.
• schlechter Überblick über genutzte Lizenzen.
• damit verbunden höhere Software-Kosten.
• DSGVO-Verstöße durch genutzte Software.

Es macht also aus verschiedenen Gründen Sinn, sich mit der Software- und IT-Struktur im eigenen Unternehmen zu beschäftigen, die genutzte Software zu überprüfen und sich gegebenenfalls von einigen Anwendungen zu trennen.

Viele Mitarbeiter setzen Cloud-Apps mit den besten Absichten in der Unternehmensumgebung ein. Sie haben eine App entdeckt, die hervorragend funktioniert, und sie nutzen und teilen sie mit Kollegen. Aber sie wird von den IT-Sicherheitsbeauftragten nicht genehmigt, weil sie nicht darüber informiert wurden.

Die IT-Abteilung geht davon aus, dass sie 20 oder 30 dieser Schattenanwendungen in ihrem Netzwerk haben. Als sie einen Discovery-Check durchführen, stellen sie jedoch schockiert fest, dass es 1.300 Anwendungen sind, von denen sie nichts wussten. Je mehr unbekannte Anwendungen im Netzwerk vorhanden sind, desto größer ist das Risiko durch Schatten-IT. Und man kann nicht sichern, wovon man nichts weiß.

Bevor wir uns mit einer möglichen Strategie gegen Shadow-IT beschäftigen, möchten wir hier noch ein Beispiel aus unserem Arbeitsleben geben, das zeigt, wie wichtig es ist, sich einen Überblick über die genutzten Anwendungen zu schaffen:

In unserem Beispiel ging die IT-Abteilung davon aus, dass sie 20 oder 30 dieser Schattenanwendungen in ihrem Netzwerk haben. Als sie einen Discovery-Check durchführten, stellten sie jedoch schockiert fest, dass es 1.300 Anwendungen waren, von denen sie nichts wussten. Nicht wenige davon wiesen schwerwiegende Sicherheitslücken auf, die das Unternehmen potenziell gefährdet und gegen Compliance-Vorschriften und -Auflagen verstoßen haben.

So gab es in unserem Beispiel einige Drittanbieter-Apps, denen OAuth-Berechtigungen gewährt wurden (ein Verstoß gegen die DSGVO!) oder die auf die Office 365-Suite, Google Drive oder die eigene Dropbox zugreifen und dort sensible Inhalte einsehen konnten - selbstverständlich ohne das Wissen der IT-Abteilung.

Unser Beispiel zeigt, dass es in jedem Fall Sinn macht, sich einen Überblick über den Status der eigenen IT zu verschaffen. Deswegen gehen wir zum Abschluss die drei Schritte durch, mit denen Sie Ihre Schatten-IT unter Kontrolle und Sicherheitslücken ans Licht bringen können:

1. Überblick verschaffen.
2. Genutzte Software und Anforderungen prüfen.
3. Richtlinien erarbeiten und Kontroll-Lösungen einführen.

Schritt 1: Überblick verschaffen

Um ein genaueres Verständnis dafür zu bekommen, wer Schattenanwendungen verwendet und welches Risiko sie für Ihr Unternehmen darstellen, benötigen Sie Antworten auf die folgenden Fragen:

• Welche Cloud-Anwendungen werden in meiner Organisation verwendet?
• Was sind die Trends für die Annahme und Anwendung von SaaS? Welche SaaS-Apps überschneiden sich?
• Wer nutzt welche Anwendung?
• Wie wird Schatten-IT genutzt? Steht die Nutzung dieser Anwendungen im Einklang mit den Unternehmensrichtlinien?
• Ist die Schatten-IT-Nutzung der Mitarbeiter in Bezug auf Sicherheit (Schwachstellen und Bedrohungen) und Compliance riskant?
• Welche SaaS-Anwendungen zeigen Upload- und Download-Aktivitäten von Dateien?
• Welche Datei-Uploads und -Downloads in SaaS-Anwendungen verletzen die Regeln der Data Loss Prevention (DLP)?
• Wer lädt Dateien mit DLP-Verletzungen hoch oder herunter?

Unserer Erfahrung nach ist es am effektivsten, direkt das Gespräch mit den Fachabteilungen zu suchen und in einem Meeting oder via Videocall alle wichtigen Fragen zu klären.

Schritt 2: Genutzte Software und Anforderungen prüfen

Nachdem die notwendigen Informationen zusammengetragen wurden, geht es an die Auswertung der gesammelten Daten. Hier sollten die genutzten Programme geprüft werden und entweder offiziell erlaubt oder Alternativen gefunden werden.

Die Fragen, die man sich hier stellen sollte, sind also:

• Welche Software kann weiter genutzt werden?
• Welche Anwendungen sollten ersetzt werden?
• Welche Alternativen kann man den Mitarbeitern anbieten?

Schritt 3: Richtlinien erarbeiten und Kontroll-Lösungen einführen

Zuletzt sollte man sich auf Richtlinien einigen, um auch langfristig keine Probleme mehr mit Shadow-IT zu bekommen. Hier kann schon ein einfacher Prozess helfen, der besagt, dass neue Software nur von Mitarbeitern aus dem IT-Bereich installiert werden darf.

Um sicher zu gehen, bietet sich die Nutzung einer CASB-Lösung an. Eine CASB-Lösung unterstützt Sie bei der Verwaltung der Schattenanwendungen und -dienste, die Ihre Mitarbeiter nutzen, indem sie eine zentralisierte Ansicht Ihrer Cloud-Umgebung bietet. Sie ermöglicht es Ihnen, Einblicke darüber zu erhalten, wer von wo und von welchem Gerät auf welche Anwendungen und Daten in der Cloud zugreift.

CASBs katalogisieren Cloud-Dienste (einschließlich OAuth-Anwendungen von Drittanbietern), bewerten den Risikograd und die allgemeine Vertrauenswürdigkeit und weisen ihnen eine Punktzahl zu. CASBs bieten sogar automatische Zugangskontrollen zu und von Cloud-Diensten auf der Grundlage der Risikobewertungen und anderen Parametern, wie z. B. der Anwendungskategorie und Dateiberechtigungen.