Blog

Der Begriff Schatten-IT meint alle IT-Systeme, -Lösungen, -Geräte oder -Technologien, die in einem Unternehmen ohne das Wissen und die Genehmigung der IT-Abteilung verwendet werden. Dazu gehören:

• Persönlich beschaffte Software, die auf Unternehmensressourcen installiert ist
• Cloud-basierte Speicherlösungen
• SaaS-Anwendungen von Drittanbietern (Datenanalyse, Business Intelligence, HR, usw.)
• Drahtlose Zugangspunkte, Router, Switches, Drucker, PCs - im Grunde alles, was mit dem Netzwerk einer Organisation verbunden ist
• Physische Speichergeräte (externe Festplatten und USB-Sticks)
• Chat-/Messaging-Anwendungen

Die Verwendung solcher nicht genehmigter Tools, Software und Geräte ist eine Gefahr für die kritischen Ressourcen eines Unternehmens.

Gründe für die Entstehung von Schatten-IT

Aber warum nutzen Mitarbeitende Schatten-IT? Häufig liegt der Grund schlichtweg darin, dass sie die IT-Lösungen des Unternehmens für nicht ausreichend, ineffizient oder für zu kompliziert halten. Daher werden Lösungen gesucht, mit denen die Arbeit schneller und besser erledigt werden kann. Ein wesentlicher Aspekt ist zudem, dass sich die meisten Mitarbeitenden der Sicherheitsrisiken von Schatten-IT nicht bewusst sind. Auf der anderen Seite unterschätzen IT-Verantwortliche häufig das Ausmass der Schatten-IT in ihrem Unternehmen: Ein durchschnittliches Unternehmen nutzt über 1000 Cloud-Dienste, aber die IT-Abteilung weiss nur von 108.

Risiken der Schatten-IT

Schatten-IT bringt eine ganze Reihe von Gefahren mit sich:

1. Fehlende IT-Kontrolle
   Wenn die IT-Abteilung nicht weiss, welche Software im Unternehmensnetzwerk vorhanden ist, kann sie nicht überprüfen, ob diese sicher ist. Denn Richtlinien, Verfahren und Sicherheitskontrollen können nicht auf unbekannte Ressourcen angewandt werden.
    
2. Datenverlust und Datenlecks
   Bei der Verwendung von Schatten-IT-Lösungen können Mitarbeitende Zugriff auf Daten erhalten, auf die sie eigentlich keinen Zugriff haben sollten. Ein noch grösseres Problem ist das Risiko des Datenverlusts.
    
3. Ungepatchte Sicherheitslücken und Fehler
   Software-Anbieter veröffentlichen ständig neue Patches, um Schwachstellen und Fehler in ihren Produkten zu beheben. Normalerweise ist es Aufgabe des IT-Teams, diese Aktualisierungen im Auge zu behalten und sie rechtzeitig einzuspielen. Bei der Schatten-IT können die Administratoren jedoch nicht alle Produkte und Geräte auf dem neuesten Stand halten, weil sie nichts von deren Existenz wissen.
    
4. Probleme mit der Einhaltung von Vorschriften
   Schatten-IT kann die Einhaltung verschiedener Vorschriften, Standards und Gesetze verletzen, was wiederum zu Geldstrafen, Klagen und Reputationsverlusten führen kann. Nach der Datenschutzgrundverordnung (GDPR) sind Unternehmen beispielsweise verpflichtet, die personenbezogenen Daten ihrer Nutzer rechtmässig, fair und transparent zu verarbeiten. Aber ohne die gesamte von ihren Mitarbeitenden verwendete, Software zu kennen, können IT-Verantwortliche nicht sicherstellen, dass nur autorisierte Mitarbeitende auf sensible Daten zugreifen können.
    
5. Ineffizienzen
   Auch wenn die Steigerung der Effizienz einer der Gründe ist, warum viele Menschen Schatten-IT einsetzen, ist die Wahrscheinlichkeit gross, dass das Ergebnis genau das Gegenteil ist. Jede neue Technologie muss vom IT-Team geprüft und getestet werden, bevor sie in die Unternehmensinfrastruktur integriert wird. Nur so kann sichergestellt werden, dass die neue Software ordnungsgemäss funktioniert und es nicht zu Software- und Hardwarekonflikten oder schwerwiegenden Ausfällen kommt.
    
6. Finanzielle Risiken
   Nicht genehmigte Software und Dienste duplizieren oft die Funktionen genehmigter Software und Dienste, was bedeutet, dass das Unternehmen Geld ineffizient ausgibt. Ausserdem können Schatten-IT-Risiken zu echten Vorfällen führen, die wiederum Kosten für die Schadensbegrenzung, Geldstrafen für die Nichteinhaltung von Cybersicherheitsanforderungen und Anwaltskosten nach sich ziehen.

Wie Sie Schatten-IT eliminieren können – 5 Massnahmen

Wie aber kann man etwas stoppen, von dem man nichts weiss? Ohne Wissen gibt es keine Kontrolle. Daher muss zunächst Sichtbarkeit hergestellt werden. Wird der Schatten bis in die letzten Winkel ausgeleuchtet, lässt sich feststellen, wie gross das Problem im Unternehmen tatsächlich ist. Das ISPIN Cloud Security Risk Assessment etwa verschafft Ihnen einen Ein- und Überblick in die Cloud- und Webnutzung sowie in managed und unmanaged Apps in Ihrem Unternehmen. Ein detaillierter Bericht inklusive konkreter Handlungsempfehlungen unterstützt Sie zudem bei der Risikoanalyse und bei der Steuerung. Mit diesem Assessment haben Sie den ersten und wichtigsten Schritt getan, um die Schatten-IT in Ihrem Unternehmen zu eliminieren. Darüber hinaus empfehlen sich folgende Massnahmen:

1. Erstellen Sie eine flexible Unternehmensrichtlinie
   Eine gut durchdachte Unternehmensrichtlinie, die sich mit den wichtigsten Fragen der Cybersicherheit in Ihrem Unternehmen befasst, ist ein Muss.
    
2. Risikobewusstsein schaffen
   Klären Sie Ihre Mitarbeitenden über die möglichen Folgen der Verwendung von nicht genehmigter Soft- und Hardware auf. Ausserdem können Sie Ihre Mitarbeitenden dazu ermutigen, die Schwierigkeiten, die sie mit genehmigten Lösungen haben, und die wahren Gründe für den heimlichen Einsatz von Alternativen transparenter darzustellen.
    
3. Stellen Sie die notwendigen Tools zur Verfügung
   Überprüfen Sie, ob die genehmigten Lösungen die Anforderungen der Mitarbeitenden erfüllen und verhindern Sie durch das Bereitstellen der nötigen Werkzeuge, dass diese sich der Schatten-IT zuwenden. Eine gute Praxis ist es, einen Raum für eine offene Kommunikation zwischen den Mitarbeitenden und der IT-Abteilung zu schaffen. Wenn Sie erfahren, was Ihre Mitarbeitenden wirklich brauchen, können Sie effiziente Software finden. Sorgen Sie dafür, dass Ihre IT-Abteilung Lösungen in Betracht zieht, die sowohl sicher als auch bequem sind.
    
4. Behalten Sie die Cloud dauerhaft im Auge
   Nicht alle Cloud-basierten Dienste bieten eine angemessene Datensicherheit. Verschaffen Sie sich einen Überblick darüber, welche Cloud-Dienste in Ihrem Unternehmen genutzt werden, wie sicher diese Dienste sind und analysieren Sie auch den Datenverkehr in Richtung Cloud.
    
5. Überwachen Sie Ihre Netzwerke und Mitarbeiteraktivitäten
   Die Überwachung der Vorgänge in Ihrem Unternehmensnetzwerk ist eine effektive Methode, um Informationen über die Software, Anwendungen und Webressourcen zu sammeln, mit denen Ihre Mitarbeitenden arbeiten. Auf der Grundlage dieses Wissens können Sie feststellen, wer in Ihrem Unternehmen wann mit nicht genehmigten IT-Lösungen arbeitet.

Zusammen. Sicher.

Leuchten Sie die Schatten in Ihrem Unternehmen aus und behalten Sie die Kontrolle. Wir können Ihnen helfen, Transparenz zu erlangen und beraten Sie auch gerne zu Cybersicherheitslösungen. Kontaktieren Sie uns.

Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.