Das Phänomen der Schatten-IT greift um sich: Laut einer Erhebung von it-daily.net, dem Onlineportal der Fachmagazine it management und it security, existieren in jeder Unternehmensabteilung durchschnittlich 52 Schatten-IT-Instanzen. Dazu gehören neben Software, die von den Mitarbeitenden ohne vorherige Absprache mit der IT-Abteilung installiert wurde, auch Altgeräte, die noch mit der Systemlandschaft verbunden sind. Grund für die hohe Zahl an unautorisierter Software ist, dass ein Viertel der Arbeitnehmer (24 Prozent) mit der vom Unternehmen bereitgestellten Möglichkeiten nicht zufrieden sind und ein Großteil der Fachbereichsleiter (77 Prozent) durch die Nutzung von Schatten-IT sogar eine gesteigerte Effizienz der Arbeitsabläufe feststellen. Was zunächst vorteilhaft klingt, birgt Gefahren, da durch Schatten-IT folgenschwere IT-Risiken entstehen können.
Schatten-IT als Sicherheitsrisiko für Ihr Unternehmen
Kostenlose Tools zur übersichtlicheren Terminverwaltung, cloudbasierte Anwendungen wie Google Docs und Microsoft Office 365 oder File-Sharing-Angebote, um mit den Kollegen schnell große Datenmengen auszutauschen: Im Internet gibt es unzählige Möglichkeiten, mit denen sich der Arbeitsalltag effizient gestalten lässt. Doch Fakt ist: Wird Software nicht über den offiziellen Weg der IT-Abteilung ins Unternehmen eingeführt, greifen auch nicht die benötigten Sicherheitsvorkehrungen. Im schlimmsten Fall entstehen neue Sicherheitslücken, wodurch versehentlich der Zugang zu eigentlich geschützten Informationen für Cyberkriminelle offengelegt wird. Der Gebrauch von Schatten-IT ist in der Unternehmenspraxis alltäglich und wird durch den unkomplizierten Zugang zusätzlich vereinfacht.
Schatten-IT betrifft auch Altgeräte
Dabei betrifft Schatten-IT nicht nur neue Downloads, sondern auch Altgeräte: Desktop-Rechner, die nicht mehr im Einsatz sind, defekte Laptops, veraltete WLAN-Router und Drucker können Einfallstore bieten, denn selbst im ausgeschalteten Zustand sind sie immer noch mit dem Firmennetzwerk verbunden. Statt diese sauber von der IT-Landschaft zu trennen und E-Mail-Konten von ehemaligen Mitarbeitern restlos zu entfernen, wird nicht mehr benötigte Hardware oft einfach beiseitegestellt und gerät in Vergessenheit.
Private Geräte als potenzielle Risikofaktoren
Mit wenigen Klicks ist auf dem privaten Smartphone eine Verknüpfung zum Firmen-E-Mail-Account eingerichtet oder interne Dokumente werden über ungesicherte Netzwerke an den Drucker im Homeoffice gesendet. Solche Vorgänge sind von der Unternehmensleitung nicht einfach zu unterbinden, schließlich können nicht alle von den Mitarbeitern eingesetzten Geräte und Installationen überprüft werden – gerade, wenn es sich um private Endgeräte handelt. Dennoch können Unternehmen mit einigen Maßnahmen die Entstehung von Schatten-IT eindämmen. Ein Beispiel: Wenn sich vorgegebene Prozesse in der Praxis nicht effizient umsetzen lassen, ist die Versuchung groß, selbstständig nach Möglichkeiten zu suchen, wie sich Vorgänge vereinfachen lassen. Häufig wird dann Schatten-IT heruntergeladen. Achten Unternehmen jedoch bei der Auswahl und Implementierung neuer Anwendungen und Software darauf, dass sich auf einfachem Wege Informationen und Daten verschicken, teilen und herunterladen lassen, ist die Wahrscheinlichkeit geringer, dass auf kostenlose und weniger sichere Anwendungen aus dem Netz zurückgegriffen wird.
Die TOP 3 Sicherheitsrisiken von Schatten-IT für Sie zusammengefasst
Cyberrisiken nehmen zu, nicht zuletzt, weil es immer mehr technologische Möglichkeiten und Angebote gibt. Damit Sie einen Überblick darüber haben, welche Gefahrenpotenziale für Ihr Unternehmen durch Schatten-IT entstehen, finden Sie hier die Top 3 Sicherheitsrisiken in der Übersicht:
1. Versprechung von Arbeitsentlastung
Fängt ein Mitarbeitender mit der Nutzung von Schatten-IT an, entsteht nicht selten ein Schneeballeffekt: Kollegen werden dazu verleitet, ebenfalls Applikationen herunterzuladen. Dadurch sinkt die Hemmschwelle, interne Daten über vertrauenswürdig erscheinende Tools hochzuladen und zu teilen.
2. Unsichere Verbindungen
Durch den Up- und Download von Daten mittels ungesicherter Apps oder Systeme wird der Weg für Malware, Hackerangriffe und Sicherheitslücken geebnet. Besonders bei Freeware wird mit Zustimmung der Nutzungsbedingungen oft übersehen, dass die bereitgestellten Daten zwischengespeichert oder zu weiteren Zwecken verwendet werden. Auch bei auf den ersten Blick harmlos wirkenden Tools ist Vorsicht geboten, etwa bei kostenloser Übersetzungssoftware, bei der der Text einfach auf der Webseite eingegeben und in die gewünschte Zielsprache übersetzt wird. Interne Informationen und Kundendaten können im schlimmsten Fall abgegriffen werden und in die falschen Hände geraten, die Schutzziele der Informationssicherheit – Verfügbarkeit, Vertraulichkeit, Integrität – werden somit nicht gewährleistet.
3. Nichteinhaltung von Richtlinien
Die unautorisierte Datenfreigabe durch Schatten-IT führt dazu, dass Compliance Richtlinien, die den Umgang mit physischen Arbeitsgeräten (inklusive Altgeräten) und digitalen Inhalten vorgeben, nicht eingehalten und befolgt werden. Maßnahmen der Informationssicherheit können auf diese Weise nicht vollständig greifen und es kann kein vollständig geschlossenes System geschaffen werden. Darüber hinaus kann es durch Schatten-IT zu Verstößen der Datenschutz-Grundverordnung (DSGVO) kommen, für die dann im Zweifel das Unternehmen finanziell aufkommt, sollte eine Geldstrafe erfolgen.
Schatten-IT birgt für Unternehmen somit auch wirtschaftliche Einbußen. Die zusätzlichen Kosten, die zur Erkennung und Behebung von Schwachstellen anfallen, sowie die Ausgaben für die Wiederherstellung von Daten und neuer Sicherheitskonzepte summieren sich in kürzester Zeit und stellen Unternehmen vor ernste Schwierigkeiten. Langfristig können solche Ereignisse dazu führen, dass das Image eines Unternehmens Schaden nimmt und das Vertrauen in den sicheren Umgang mit Daten sinkt. Deshalb sollten sich Verantwortliche frühzeitig mit dem Thema Schatten-IT auseinandersetzen und im Blick behalten, welche Hardware noch angeschlossen ist und nicht mehr genutzt wird, welche Tools vom Unternehmen vorgegeben werden, was von den Mitarbeitern gewünscht wird und ob Software eigenständig heruntergeladen wurde. Mitarbeitende für einen sicheren Umgang zu sensibilisieren, stellt eine weitere effektive Maßnahme dar. In Security Awareness Schulungen werden wichtige Grundlagen zum richtigen Verhalten im Netz vermittelt und bringen den Beteiligten die Risiken, die etwa durch das Herunterladen von Applikationen entstehen, näher.
Schatten-IT minimieren und Cybersicherheit gewährleisten: So geht’s
Um die Risiken von Schatten-IT in Ihrem Unternehmen zu minimieren und die eigene Cybersicherheit zu erhöhen, gibt es drei wichtige Schritte, die Sie beachten sollten:
Überblick verschaffen
Zunächst müssen Unternehmen sich einen Überblick über die von den Mitarbeitern genutzten Anwendungen machen. Häufig ist die Zahl der nicht freigegeben Apps deutlich höher als von der Geschäftsführung angenommen. Folgende Fragen sollten geklärt werden:
- Welche Anwendungen werden verwendet?
- Welche Upload- und Download-Aktivitäten gibt es?
- Wer nutzt Schatten-IT?
- Werden durch die Nutzung von Schatten-IT Datenschutzvorschriften oder andere wichtige Richtlinien verletzt?
- Sind die Anwendungen in Bezug auf IT-Sicherheit riskant?
- Welche Altgeräte sind im Umlauf und welche Gefahren gehen hiervon aus?
Mit einem übersichtlichen IT-Security-Tool, wie es die Deutsche Gesellschaft für Cybersicherheit (DGC) mit cyberscan.io® anbietet, behalten Unternehmen den Blick über ihre IT-Infrastrukturen und können Schwachstellen, die durch Schatten-IT entstehen, kontinuierlich überprüfen.
Schatten-IT prüfen
Schatten-IT muss nicht grundsätzlich schlecht sein und kann für eine Optimierung von Arbeitsprozessen sorgen. Deshalb sollten die Anwendungen anhand einiger Fragen genauestens auf Sicherheitslücken geprüft werden:
- Welche nicht offiziell freigegebenen Anwendungen sind sicher für das Unternehmen und können weiter von den Mitarbeitern genutzt werden?
- Welche Schatten-IT ist nicht sicher und muss ersetzt oder entfernt werden?
- Welche sicheren Alternativen gibt es, damit Mitarbeiter trotzdem von den Vorteilen der Anwendungen profitieren können?
Um zu testen, wie sicher die eigenen Systeme wirklich sind, bieten sich sogenannte Pentests an. Hierbei wird durch simulierte Angriffe geprüft, wie robust das IT-System ist und an welchen Stellen versteckte Einfallstore durch Schatten-IT bestehen.
Richtlinien einführen
Klare Vorgaben und Richtlinien helfen dabei, die Entstehung von Schatten-IT einzuschränken. Viele Unternehmen agieren nach veralteten Regeln für die Anschaffung neuer Systeme, manche Potenziale werden somit nicht sinnvoll ausgeschöpft. Auch hohe Anschaffungskosten schrecken zunächst oft ab, dabei gibt es nützliche Tools und Apps, die mittlerweile weniger Ausgaben veranschlagen als das eingeplante Budget. Hilfreich ist es, wenn die Compliance Richtlinien klar vorgeben, wer Ansprechpartner für die Einführung neuer Software ist. Die IT-Abteilung wird dadurch aktiv einbezogen und kann prüfen und protokollieren, welche Lösungen bewilligt werden – und welche nicht.
Fazit
Verbreitet sich nichtbewilligte Software unbemerkt im Unternehmen, erhöht sich das Risiko für Sicherheitslücken. Um Schatten-IT einzudämmen, ist es hilfreich, sich einen genauen Überblick zu verschaffen: Welche der Tools können offiziell ins Unternehmen eingeführt werden, damit gemeinsam davon profitiert wird? Und welche Altgeräte müssen sauber aus der IT-Landschaft entfernt werden? So sorgen Sie für verschlankte Prozesse und die Mitarbeitenden erfahren eine willkommene Unterstützung bei der Ausübung ihrer Tätigkeit.
Sie möchten wissen, welche Schatten-IT in Ihrem Unternehmen eingesetzt wird und wie hoch Ihr Risikopotenzial ist? Lassen Sie sich jetzt von unseren Experten beraten.
