:quality(80)/p7i.vogel.de/wcms/d1/4f/d14f0c11fbf6e5d56fdfeb16437e7048/0115479470.jpeg "Multi-Cloud-Management ermöglicht es Unternehmen, verschiedene Cloud-Dienste effizient zu integrieren und zu verwalten für verbesserte Flexibilität, Risikominimierung und Kosteneffizienz. (Bild: Rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/61/b8615878dfcb9b7383269a429384a593/0115304715.jpeg "Von klassischem Filesharing bis hin zu vollumfänglichen Collaboration-Plattformen: Dank Cloud Content Management haben Angestellte jederzeit sicheren Zugriff auf alle nötigen Daten und Anwendungen. (© greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/98/3d98b69e471f34ee67173e2b19150983/0115412594.jpeg "Enterprise-SaaS-Angebote bringen die klassischen Geschäftsanwendungen in die Cloud – und damit hohe Flexibilität und Skalierbarkeit, um im Wettbewerb langfristig am Ball zu bleiben. (Bild: peacehunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/0e/890e6d131e5e270b3929be52654aac59/0117400623.jpeg "Augmented Reality Cloud: über die reale Welt gelegter interaktiver und persistenter Digital-Layer. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/5b/e2/5be2eca51412f3d78b0247ee6583b598/0117266067.jpeg "Flüssiggekühlte Systeme gewinnen Liebhaber: In dieser Woche präsentiert MSI seine jüngsten Server, die mit Flüssigkeiten gekühlt werden. (Bild: MSI)")
:quality(80)/p7i.vogel.de/wcms/8b/38/8b38d0b3f3c86fecc7acf508bf0bd40f/0117275729.jpeg "Geofencing bezeichnet eine virtuelle Grenze auf einem geografischen Gebiet. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/8b/30/8b309f39c2fb3404a47453a73580adb4/0117705366.jpeg "Wer täglich mehr als 5.000 Mails versenden will, kommt ab sofort um die Implementierung neuer Verfahren gegen Spam und Phishing nicht herum. (Bild: frei lizenziert, geralt / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/ee/27/ee27236a1edae9b9c07631ddf61392fc/0117218858.jpeg "Durch SAP Business ByDesign automatiseren mittelständische Unternehmen viele Prozesse. (Bild: Adobe)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867512155942a784add5cd4db6f7db4/0117586008.jpeg "Aufwendungen für Software können in vielen Fällen als Betriebskosten verbucht und über die Nutzungsdauer abgeschrieben werden. (Bild: H_Ko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/17/971780947924012d56266fe87883d226/0116978579.jpeg "Juristen können mit Noxtua u.a. Rechtstexte analysieren, prüfen und zusammenfassen. (Bild: Xayn)")
:quality(80)/p7i.vogel.de/wcms/83/a3/83a32a57c7d2f700adb7e7169ee669cb/0117143187.jpeg "Fluke Networks bietet den digitalen Leitfaden kostenlos zum Download an. (Bild: Fluke Networks)")
:quality(80)/p7i.vogel.de/wcms/a8/67/a867d7d6bb999b389be521391938228e/0117612543.jpeg "Die Idee eines gezielten und professionellen Human Risk Management beginnt in Deutschland und Europa gerade erst, sich durchzusetzen. Auch, weil sie im datenschutzaffinen Europa häufig missverstanden wird. (Bild: Rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/7f/ab7ffdb5815225870a8d239420e2a9ee/0117824235.jpeg "Deskcenter Advisory Connect soll tiefe Einblicke in den Bestand an Hard- und Software ermöglichen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/40/00/40003b140b3fd49c47ff032dba637a82/0117824223.jpeg "Wenn es um die Hybrid Cloud geht, werden interessierte Unternehmen oftmals von Wissenslücken ausgebremst. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/32/32/32324821b5a4e8e69c872726c13d828a/0117610599.jpeg "Cloud Bursting ist eine Technik, um IT-Ressourcen durch dynamisches Hinzufügen von Cloud-Ressourcen zu erweitern und damit unerwartete Lastspitzen zu bewältigen. (Bild: starlineart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bf/7e/bf7ecbbfd3a815ad7160b3fcfc4eb847/0117775397.jpeg "Eine aktuelle AWS-Studie zeigt, dass sich Cloud und KI in Unternehmen durchsetzen. Dennoch gilt es zahlreiche Hindernisse zu überwinden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/d1/0d/d10d1e1fc53b8629b65e5d86d88f4631/0117394134.jpeg "Mit der neuen Channel-Strategie und einer neu aufgestellten Mannschaft soll das Geschäft bei Fujitsu mit voller Fahrt weitergehen. (Bild: Ed - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/7b/a17be61363d2ed8c7f9772e0497a06e9/0117209665.jpeg "Neue Technologien werden schneller eingeführt, als neue Fähigkeiten erworben (oder angeworben) werden können. (Bild: Software AG)")
:quality(80)/p7i.vogel.de/wcms/1d/5f/1d5ff604e768dc07af9d7a5e934aac13/0117587541.jpeg "Data Protection ist eine in Unternehmen oft vernachlässigte Disziplin, dabei aber unheimlich wichtig, um SaaS-Anwendungsdaten zu sichern und auch wiederherstellen zu können. (Bild: duncanandison - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/3d/303dee95ed8a8c2ffe1df16ad1b6f371/0117576672.jpeg "Copilot bietet in Microsoft 365 umfangreiche Möglichkeiten. Dazu gehören auch neue Funktionen in OneDrive, Teams und SharePoint. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/85/a7/85a7e47314bd1ff01cd0ef3dab86d088/0117440139.jpeg "Verfügen Sicherheitsteams nicht über den notwendigen Einblick in alle Daten, die ihr Netzwerk passieren, setzen sie sich einem hohen, sehr kostspieligen Sicherheitsrisiko aus. (Bild: Borin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/22/a322cb08846922fbb3ff2ff456088565/0117584477.jpeg "Viele Cloud-Speicherdienste bieten sicheres Datenspeichermanagement und den flexiblen Zugriff auf Dokumente und Dateien. (Bild: Jacky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/73/097302aa1b7e01683424de334a8a56a8/0117567518.jpeg "War die im Koalitionsvertrag verankerte Open-Source-Förderung doch nur ein Lippenbekenntnis? (Bild: Tuomas Kujansuu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/f9/4af97680066d2bdf0f21aef50ff77703/0117543337.jpeg "Um den Datenschutz zu verbessern, ist es in Nextcloud jetzt möglich, eigene Large Language Models (LLM) zu verwenden, so dass Anwender bei der Verwendung von KI-Funktionen keine Daten unbeabsichtigt ins Internet senden. (Bild: LukaszDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/45/774573a56b7778d14c6969cb1a47aa8a/0117536159.jpeg "Business Agility befähigt Unternehmen, schnell und effektiv auf sich verändernde Marktbedingungen, Kundenanforderungen und interne Herausforderungen zu reagieren, um Wettbewerbsfähigkeit, Innovation und Wachstum zu fördern. (Bild: ronstik - stock.adobe.com)")
Risiken nicht verwalteter IT-Systeme Schatten-IT und technische Schulden
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/5a/645a1018bd625/profilbild.jpeg "profilbild (i-doit pro)")
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/05/66054c7f87e44/emma-logo.png "emma-logo (emma)"){kind=logo}
Schatten-IT ist kein neues Problem, sondern beschäftigt IT-Abteilungen schon seit geraumer Zeit. Doch mit dem starken Anstieg von Remote- und Hybrid-Arbeit in den letzten Jahren ist die Anzahl der zu überwachenden Geräte, Apps und Konten in die Höhe geschnellt und der Überblick oft komplett verlorengegangen.
Ein großes Problem neben Schatten-IT ist, dass IT-Abteilungen immer öfter technische Schulden anhäufen, um unerwartete Herausforderungen kurzfristig zu lösen. Die Folge sind eine vergrößerte Angriffsfläche und deutliche Mehrkosten, die nur mit dem konsequenten Umsetzen von Transparenz, Automatisierung und Integration in den Griff bekommen werden können.
Schatten-IT, englisch Shadow IT, meint jegliche Art nicht verwalteter IT-Systeme, die von Mitarbeitenden genutzt werden, jedoch nicht auf dem Radar von IT- und Sicherheitsteams auftauchen. Hierzu zählen u.a. Cloud-Konten oder Messaging-Apps, aber auch Hardware wie etwa Laptops oder Smartphones, die ohne Wissen der IT-Verantwortlichen zum Einsatz kommen.
Dabei nimmt der Anteil der Schatten-IT in den Unternehmen immer weiter zu. Wie eine von McAfee bei Censuswide in Auftrag gegebene Befragung von 500 IT-Leitern in Deutschland gezeigt hat, nutzen bereits mehr als die Hälfte der Mitarbeitenden in Unternehmen Applikationen, ohne dass die IT-Abteilung davon weiß. 41 Prozent der befragten Angestellten räumten zudem den Einsatz von nicht sanktionierten Cloud-Services ein.
Wie Schatten-IT entsteht
Will man Schatten-IT gezielt eindämmen, muss man sich bewusst machen, in welchem Umfeld sie entsteht und woran liegt es, dass Mitarbeitende auf nicht-gemanagte Apps und Dienste zurückgreifen. Folgende vier Punkte sind typische Beispiele für Schatten-IT, die IT-Abteilungen im Blick haben sollten:
1. Remote- und Hybrid-Arbeit
Um auch in entfernten und hybriden Arbeitsumgebungen uneingeschränkt produktiv sein zu können, brauchen Mitarbeitende eine Vielzahl an Collaboration-Tools und -Diensten, die sie in ihrer geschützten Büroumgebung sonst nicht einsetzen. Gerade als zu Beginn der Pandemie der Großteil der Belegschaft teils vollkommen unvorbereitet ins Homeoffice geschickt wurde, griffen viele Mitarbeitende spontan auf neue Werkzeuge zurück, deren Einsatz von der IT-Abteilung so nicht genehmigt wurden, etwa für das Versenden von Textnachrichten oder die Freigabe von Daten. Durch diese unkontrollierten und teils unsicheren Dienste hat sich die Angriffsfläche der Unternehmen in kürzester Zeit massiv vergrößert. Das Gefährliche dabei ist, dass auch Remote-Mitarbeiter oft administrativen Zugriff auf lokale Workstations und Anwendungen haben. Sollte es einem Cyberangreifer gelingen, sich Zugang zu einem Gerät mit lokalen Administratorrechten zu verschaffen, kann er diesen nutzen, um Passwörter zu stehlen, Malware zu installieren oder Daten zu exfiltrieren. Möglicherweise ist er sogar in der Lage, Privilegien zu erhöhen, um so Zugriff auf die gesamte IT-Umgebung zu erhalten.
2. Nicht-verwaltete Browser
Der Großteil der Arbeitsabläufe findet heute über Internet-Browser statt, weshalb die meisten Benutzer auch mindestens zwei oder mehr davon auf ihren Rechnern laufen haben. Werden diese Browser von den Unternehmen nicht selbst verwaltet – und dies ist meist die Realität – entsteht eine große Sicherheitslücke. Das liegt vor allem daran, dass Browser die Benutzer oft dazu auffordern, sensible Anmeldedaten, Kennwörter oder Kreditkarteninformationen zu speichern. Hacker wissen diese Schwachstelle auszunutzen und sehen in ungemanagten Browsern eine ideale Möglichkeit, um kritischen Informationen abzugreifen und sich so Zugang zu Systemen und Datenbanken zu verschaffen oder betrügerische Zahlungen im Namen eines Unternehmens vorzunehmen.
3. Produktivitäts-Apps
Productivity-Apps von Drittanbietern, die es den Nutzern ermöglichen, Aufgaben effektiv und schnell zu erledigen, werden immer beliebter. Egal ob aus Google Play oder dem App Store heruntergeladen oder browserbasiert: Werden diese Anwendungen ohne Überprüfung durch die IT-Abteilung heruntergeladen und installiert, drohen dem Unternehmen hohe Risiken. Denn den unbedarften Nutzern ist oft nicht bewusst, dass diese beliebten Apps oft nicht über die nötigen Sicherheitskontrollen verfügen oder nicht so häufig aktualisiert werden, wie es die Sicherheitsvorgaben des Unternehmens verlangen. Nicht selten werden sensible Daten in allen möglichen Repositories gespeichert und kritische Geschäftsinformationen für den Rest des Teams nicht unkenntlich gemacht. Gleichzeitig kann die Software widersprüchliche Sicherheitsmodelle aufweisen, die nicht mit den Unternehmensrichtlinien für die Zugriffskontrolle oder Datennutzung übereinstimmen.
4. Schnelle Produktionszyklen
Unter dem zunehmenden Druck, schnell und effizient arbeiten zu müssen, sehen sich Entwickler und DevOps-Teams immer häufiger dazu gezwungen, die Sicherheit der Geschwindigkeit hintenanzustellen, was Schatten-IT begünstigt. So richten Entwickler beispielsweise schnell Instanzen in der Cloud ein und lassen diese ebenso schnell wieder verschwinden. Das Problem: Die Daten leben in der Cloud-Umgebung weiter, ohne dass die IT- oder Sicherheitsteams jemals etwas davon erfahren.
Wie Richtlinien helfen, die Kontrolle zurückzuerlangen
Eigentlich ist es ganz einfach: Solange die IT-Abteilung nicht in der Lage ist, sämtlichen Mitarbeitenden Zugang zu sicheren Tools und nahtlosen Arbeitsabläufen zu gewähren, besteht die Gefahr, dass diese die Dinge selbst in die Hand nehmen und Lösungen auf eigene Faust entwickeln. Soll Schatten-IT nachhaltig eingedämmt werden, müssen es die IT- und Sicherheitsteams schaffen, die Anforderungen an Sicherheit und Datenschutz mit den Produktivitätsanforderungen in Einklang zu bringen. Dies gelingt am besten mit der Einführung und konsequenten Durchsetzung von Richtlinien und Kontroll-Lösungen, die automatisiert und vor allem im Hintergrund agieren, nicht nur für Sicherheit zu sorgen, sondern auch Reibungsverluste in den Arbeitsabläufen zu vermeiden.
Für ein erstes „Aufräumen“ empfiehlt sich der Einsatz eines Tools, das sämtliche bösartigen, unsicheren und unbekannten Anwendungen und Programme im eigenen Netzwerk sicher aufspürt, und es ermöglicht, diese zu löschen oder zu überprüfen. Und auch ein Tool, welches im Browser gespeicherte Passwörter sämtlicher Active Directory-Nutzer identifiziert und anzeigt, ist obligatorisch.
Darüber hinaus sollte eine richtlinienbasierte Anwendungskontrolle zum Einsatz kommen, die es möglich macht, Anwendungen, die Benutzer herunterladen möchten, automatisch mit Listen vertrauenswürdiger Anwendungen bzw. den neuesten Bedrohungsdaten zu verdächtigen Anwendungen abzugleichen. Dabei sollte sichergestellt werden, dass jede unbekannte, nicht vertrauenswürdige Anwendung zur weiteren Überprüfung zunächst automatisch in eine Sandbox geschoben wird, bevor sie zum Einsatz kommen.
Warum auch technische Schulden Schatten-IT hervorbringen
Was bei der Diskussion rund um Schatten-IT gerne übersehen wird, ist, dass dieses Sicherheitsproblem nicht nur Geschäftsanwender und Entwickler betrifft, die außerhalb der IT-Security arbeiten, sondern auch IT-Teams – insbesondere, wenn diese nicht koordiniert zusammenarbeiten. Denn dieser Mangel an Koordination führt häufig zu technischen Schulden (technical debt). Darunter versteht man den zusätzlichen Aufwand, der entsteht, wenn Teams auf kurzfristige, einfachere Lösungen setzen, anstatt Zeit, Mühe und Kapital in einen langfristigen Ansatz zu investieren. So treffen IT-Abteilungen nicht selten kurzfristige Entscheidungen über IT-Lösungen, setzen auf Einzweck-Tools oder kaufen mehrere, isolierte Produkte, um auftretende Probleme schnell zu lösen und den Betrieb des Unternehmens aufrechtzuerhalten.
Oft sparen sie dabei jedoch am falschen Ende. Denn technische Schulden können zu einer sehr kostspieligen Angelegenheit werden, was vor allem für Unternehmen mit knappen Budgets und begrenzten Ressourcen kritisch ist. Die kurzfristigen, scheinbar geringen Ausgaben ziehen nicht selten hohe Kosten für Erneuerung, Wartung, Schulung und Upgrades nach sich. Außerdem sind die Tools in der Regel uneinheitlich und nur begrenzt integrierbar. Auch benutzerabhängige Systeme werden hier zum Problem, da andere Kollegen oder Vorgesetzte oft nichts von deren Existenz wissen. Nach Ausscheiden des dafür verantwortlichen Mitarbeitenden geraten diese oft in Vergessenheit und vergrößern den „digitalen Schatten“.
Sollen technische Schulden effektiv reduziert werden, müssen die IT-Abteilungen strategisch denken und Entscheidungen treffen, die mit dem langfristigen Fokus eines Unternehmens im Einklang stehen. Dabei ist es wichtig, die Cybersicherheit zukunftssicher zu gestalten, sich von Einzellösungen zu lösen und stattdessen funktionsreiche Technologien einzusetzen, die mit dem Unternehmen mitwachsen und im Laufe der Zeit einen Mehrwert schaffen können.
Fazit
Transparenz, Automatisierung und Integration spielen bei der Eindämmung von Schatten-IT und technischen Schulden eine wichtige Rolle und unterstützen Unternehmen nicht nur dabei, ihre Angriffsfläche zu minimieren, sondern können auch die Benutzerfreundlichkeit verbessern.
* Der Autor Andreas Müller ist VP Sales DACH bei Delinea.
(ID:48493319)
:quality(80)/p7i.vogel.de/wcms/17/cb/17cbd109930c3feaf592d73654e4de51/0113936541.jpeg "Nicht verwaltete IT-Systeme – Geräte und Anwendungen, die ohne Wissen und Genehmigung der IT-Abteilung eingeführt und von Mitarbeitern für die Arbeit verwendet werden – bergen große Risiken für Unternehmen. (Bild: Andrii Yalanskyi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/c3/f1c363d37ed94b5fd2a79c28544c43a6/0115783944.jpeg "Unternehmen sollten Mitarbeitende „an vorderster Front“ mit geeigneten digitalen Werkzeugen, Geschäftsanwendungen und modernen Geräten für eine besser Kommunikation und Zusammenarbeit unterstützen. (Bild: ipopba - stock.adobe.com)")