Die versteckte Gefahr für Unternehmensdaten!
Was bedeutet eigentlich Schatten-IT?
"Schatten-IT" bezeichnet informationstechnische Systeme, welche als Zweitsystem in Fachabteilungen existieren. Die "Schatten-IT" umfasst informationstechnische Organisationseinheiten, Prozesse und Systeme, welche neben der offiziellen IT-Infrastruktur angesiedelt sind und oftmals nur einem begrenzten Personenkreis zugänglich sind. Die IT-Instanzen sind meist strategisch und technisch von den herkömmlichen IT-Einheiten abgegrenzt und zur Kommunikation von vertraulichen Informationen gedacht. Eine zu geringe Ausstattung mit IT-Möglichkeiten führt in größeren Betrieben regelmäßig zur selbständigen Bildung von IT-Systemen in kleineren Arbeitsgruppen.
Der Begriff und auch die "Ausführung" der Schatten-IT ist eigentlich nichts Neues. Sie ist schon seit Beginn der Unternehmensnetzwerke ein Thema, jedoch in der letzten Zeit wieder vermehrt im Fokus.
Gerade im Bereich der Cloud-Intrastrukturen (Private- und Public-Cloud) hat sich viel getan, wodurch die Schatten-IT wieder vermehrt in die Betrachtung der IT-Verantwortlichen rückt.
Warum wird sie eingesetzt?
Oftmals passiert der Einsatz nicht aus böser Absicht, sondern aus Bequemlichkeit, Nutzerakzeptanz und Unwissenheit.
- Bequemlichkeit
Private Geräte werden gerne mit dem Firmennetzwerk verbunden, weil man sein eigenes Datenvolumen nicht opfern möchte und sich einfach mit dem vorhandenen WLAN verbindet, auch wenn es hier Richtlinien gibt, die das eigentlich verbieten. Meist ist natürlich das firmeneigene WLAN auch deutlich schneller, was einen zusätzlichen Anreiz hat. Durch die Verbreitung von BYOD (Bring Your Own Device) steigt natürlich das Risiko. Für den Arbeitgeber ist das sehr bequem und kostengünstig, wenn die Mitarbeiter ihre eigenen Geräte nutzen dürfen. Für die Sicherheit und die Kontrolle ist das allerdings alles andere als förderlich. Man hat keine Kontrolle mehr darüber, welche Programme auf den Geräten installiert sind, ob die Daten ausreichend gesichert werden oder welche Software im Hintergrund ausgeführt wird. Somit gibt das Unternehmen auch jegliche Kontrolle ab und das Vertrauen zu den Mitarbeitern muss sehr groß sein!
- Nutzerakzeptanz
Häufigstes Problem sind hier die mobilen Geräte, allen voran das Smartphone, schnell werden Apps installiert, die aus Mitarbeitersicht natürlich nur Vorteile für den Arbeitsalltag bringen. Auch hier besteht die Gefahr, dass schnell Applikationen auf den Geräten landen, die nicht mit der Unternehmensregelung konform sind. Man öffnet also ein weiteres Einfallstor für diverse Schadprogramme oder Spionagetools.
- Unwissenheit
Wer erwartet schon ein Sicherheitsrisiko, wenn er sein privates Smartphone oder die neue, tolle Kaffeemaschine ins Firmennetzwerk bringt? Gerade bei Geräten, die nicht auf den ersten Blick den Anschein eines Computers besitzen, ist die Gefahr umso größer diverse Einfallstore für die Angreifer zu öffnen. Bei vielen Dingen wird die Sicherheit der Geräte oder der Anwendungen im beruflichen Kontext nicht mehr in Frage gestellt.
Was macht die Schatten-Geräte so gefährlich?
Die Gefahr lässt sich relativ leicht zusammenfassen: "Alles was du nicht kennst, kannst du nicht sichern". Jedes Gerät, jede Software stellt ein mögliches Risiko für die Daten des Unternehmens dar. Wissen die Verantwortlichen nicht von deren Existenz, können auch keine weiteren Schritte eingeleitet werden, um entsprechende Sicherheitsmaßnahmen zu ergreifen. Man kann seine Mitarbeiter nicht zielgerichtet schulen und auch die Datenschutzeinstellungen lassen sich an den Unbekannten nicht anpassen und entsprechend konfigurieren. Mehr Geräte und Software erhöhen die Angriffsfläche für Cyberkriminelle.
Was sind die häufigsten Gefahren?
Die zusätzlichen, nicht autorisierten Geräte in der Firmenlandschaft können Anwendungen herunterladen, deren Herkunft nicht genau geklärt werden kann und somit die Gefahr von Schadprogrammen immens steigt. Auf mobilen Geräten werden Applikationen installiert, die umfassende Berechtigungen (Zugriff auf die Kamera, das Adressbuch, Mikrofon, etc.) anfragen und von den Nutzern einfach akzeptiert werden. Es sollte hier immer ein Experte aus der IT-Abteilung zu Rate gezogen werden, damit geklärt werden kann, was denn nun wirklich sinnvoll ist und welche Berechtigungen unbedingt notwendig.
Man darf nicht vergessen, dass gerade jetzt viele sensible Daten auch auf mobilen Endgeräten verarbeitet werden. Gerade hier ist es viel leichter aus den verschiedenen Store´s entsprechende Apps zu installieren.
Verbinde ich meine privaten Geräte mit dem Firmennetzwerk, bedeutet das zusätzlich, dass ich hier Schadsoftware einschleusen kann. Schnell sind alle Rechner befallen und für die IT-Abteilung fällt die mühsame Suche nach dem Ausbrecher an. Unerfahrene Nutzer sehen hier leider oft nur den eigenen Vorteil und ihr Gerät ist unwissentlich schon befallen...der Super-GAU beginnt...
In Bezug auf die Datensicherheit gibt es, wie anfangs schon erwähnt, noch einen großen Nachteil für ein Unternehmen. Durch die Nutzung der unterschiedlichsten Cloud-Dienste ist es heute einfacher denn je, brisante Dokumente und Informationen aus einem Unternehmen abfließen zu lassen. Das passiert so einfach und schnell, dass es oftmals erst Wochen oder Monate später auffällt, wenn überhaupt....
Na das hört sich ja alles gar nicht gut an! Wie soll ich damit umgehen?
Ein erster konkreter Schritt im Kampf gegen die Schatten-IT sollte der konstruktive Dialog sein. Die Fachabteilungen sollten für diese Thematik sensibilisiert werden. Hier ist es wichtig, dass sich beide Seiten austauschen, denn nur so können die vorhandenen IT-Lösungen auch an die Anforderungen der jeweiligen Abteilungen angepasst und gegebenenfalls weitere Funktion ergänzt werden. Erst wenn dieser Dialog begonnen hat und die vorhandene Schatten-IT identifiziert wurde, ist die erste Hürde zur Abschaffung dieser gefährlichen, versteckten Struktur genommen.
Es bietet sich natürlich auch an, hier nicht nur auf Maßnahmen setzen, um die Schatten-IT so weit wie möglich einzudämmen, sondern für einen sinnvollen Umgang auch entsprechende Möglichkeiten anzubieten, weil sie sich ohnehin nicht ganz vermeiden lässt. Der Grund für das Aufkommen von Schatten-IT ist hier häufig ein wichtiger Ansatz, um zukünftig dem entgegen zu steuern.
Häufig kommt es nämlich zur Schatten-IT, wenn ein Bedarf besteht, den die IT nicht adäquat bedient. Es ist wie bei so vielen Dingen, die Kommunikation muss stimmen und ein regelmäßiger Austausch sollte stattfinden!
Fazit
Ein goldener Mittelweg dürfte am Ende sehr vielversprechend sein. Anstatt IT- und einzelne Fachabteilungen gegeneinander aufzubringen, sollte man die Kommunikation zwischen Ihnen verstärken. Die sinnvollen Lösungen könnten dann auch offiziell angeschafft werden und aus dem Dunkeln ins Licht geholt werden. Es profitieren alle Beteiligten davon, wenn die Mitarbeiter ihre IT-Eigenkreationen melden und sich zusammen mit der IT-Abteilung über eine Lösung unterhalten und diese im Idealfall gemeinsam umsetzen.