Die „Schatten-IT“ stellt eine echte Bedrohung für die IT-Dienste dar. Doch woher kommt dieses Phänomen ? Welche Risiken birgt es für das Unternehmen ? Welche Antworten gibt es darauf ? Wir haben 5 Experten gebeten, dieses wichtige Thema zu diskutieren, zu einem Zeitpunkt, da die Versprechen der Cloud die Nutzung innerhalb der Unternehmen grundlegend verändern.
Normalerweise stehen die IT-Leiter im Unternehmen an vorderster Front, um die Auswirkungen dieser Veränderungen auf die Praktiken der Mitarbeiter zu messen.In den letzten Jahren sind jedoch neue riskante Praktiken entstanden. Dazu gehört die „Schatten-IT“; die Nutzung von Anwendungen und Diensten, die oft in der Cloud angesiedelt sind, parallel zu den „offiziellen“ SaaS, die von der IT-Abteilung bereitgestellt werden. Heute entwickelt sich diese Praxis derart, dass Cloud-Dienste und die Anzahl der damit verbundenen Objekte sprunghaft zunehmen. In ihrem Bericht Cloud Adoption and Risk Report schätzt die Firma McAfee, dass Unternehmen heute durchschnittlich auf 1.935 Cloud-Dienste zurückgreifen. Eine Zahl, die jedes Jahr um 15 % steigt. Hinsichtlich der „Schatten-IT“ ist es sehr schwer, die Bedrohung zu quantifizieren, da sie derart verbreitet und konjunkturell bedingt ist. Dennoch ergab bereits eine PwC-Umfrage aus dem Jahr 2015, dass 15 bis 30 % der IT-Ausgaben außerhalb des offiziellen Budgets lagen. Und es ist sehr wahrscheinlich, dass sich dieser Trend seitdem weiterentwickelt hat.
Neue Nutzungen, neue Risiken
„Bei der Schatten-IT handelt es sich um einen Teil des IT-Bestandes des Unternehmens, der außerhalb der Kontrolle der IT-Abteilung liegt", erklärt Emmanuel Dupont, Global Chief Security Officer von Oxya (Hitachi Group). Datenverlust, Sicherheitslücken, Anfälligkeit für Schadsoftware... Dieser teilweise Verlust der Kontrolle verursacht erhebliche Risiken. „Wenn Informationen außerhalb des von der IT markierten Bereichs übertragen werden, wird auch das Risiko dorthin verlagert, jedoch ohne die vom Unternehmen bereitgestellten Schutzvorkehrungen.“Wie der McAfee-Bericht hervorhebt, sind die als Bedrohung betrachteten Ereignisse im Vergleich zum Vorjahr um 28 % gestiegen. Gleichzeitig hat der Austausch sensibler Daten über einen öffentlichen Webzugriff in zwei Jahren um 23 % zugenommen. „Heute stellt das Hauptrisiko nicht der große massive Direktangriff dar, sondern der Mitarbeiter selbst“, sagt Emmanuel Dupont. „Sobald er Tools verwendet, die der IT-Abteilung nicht bekannt sind, wird er zu einem privilegierten und schutzlosen Ziel.“
Heute stellt das Hauptrisiko nicht der große massive Direktangriff dar, sondern der Mitarbeiter selbst.
Emmanuel Dupont, Global Chief Security Officer von Oxya (Hitachi Group)
Für Paul Fariello, Mitglied des Security Intelligence-Teams von Stormshield, wird diese Praxis auch durch die Einführung neuer Geschäftsmodelle verstärkt. In diesen flexibleren und offeneren Unternehmen bringt die Mobilität der Mitarbeiter manchmal mit sich, dass sie ihre eigene Hardware (Laptop, persönliches Telefon, vernetzte Uhr oder Sprachassistenten) in einem beruflichen Umfeld nutzen. „Wenn man seine persönlichen Geräte verwendet, nutzt man nicht mehr die gleichen Datenleitungen, sondern umgeht die sicheren VPN.Doch wenn die Mitarbeiter sehr mobil sind, wird es schwierig, systematisch zu kontrollieren, wo und wie sie sich verbinden.“
Finanzieller Aspekt und Zeitfaktor
Für unsere Experten ist die Entwicklung der Schatten-IT die direkte Folge der Kostensenkungspolitik des Unternehmens. „Die interne IT galt lange Zeit als Kostenstelle“, sagt Denis Lechevin, CISO bei Worldline (E-Payment). „Die Geschäftsbereiche haben die von der IT-Abteilung angebotenen Dienstleistungen daher in Konkurrenz zu externen Dienstleistungen gestellt, deren angekündigte Kosten niedriger sind.“Ohne zwangsläufig die damit verbundenen Risiken zu berücksichtigen.
Und in vielen Fällen reagieren die IT-Leiter mit Verzögerung. „Dieser Mangel an Flexibilität der IT-Leiter erklärt weitgehend die Entwicklung der Schatten-IT“, sagt Johanne Ulloa, Moderator von Podcast NoLimitSecu.„Wenn ein Mitarbeiter eine Ressource benötigt, aber schwerfällige Prozesses dazu führen, dass die IT-Abteilung Zeit verliert, ihm diese zur Verfügung zu stellen, dann wird er auf den Dienst eines Drittanbieters zurückgreifen.“ Der Zeitfaktor spielt hier also eine entscheidende Rolle. Aber oft vermitteln die IT-Abteilungen den Eindruck einer „Dampfwalze, die ins Rollen kommt und ihre Antwort zu spät gibt“, meint Denis Lechevin.„Aber dieser Eindruck wird noch durch die Tatsache verstärkt, dass es oft das Unternehmen ist, das den IT-Leiter zu spät darauf anspricht.“ Angesichts des einfachen Zugriffs und der schnellen Einführung externer Lösungen ist es diese zeitliche Verzögerung, die eine Diskrepanz schafft. Und die mit der Unternehmensverwendung verbundene Dringlichkeit steht dann im Gegensatz zur Notwendigkeit, IT-Services langfristig zu strukturieren. „Zu oft werden IT-Leiter als interne Dienstleister betrachtet, die man in Konkurrenz zu externen Anbietern stellen kann“, sagt Denis Lechevin abschließend.
Dieser Mangel an Flexibilität der IT-Leiter erklärt weitgehend die Entwicklung der Schatten-IT.
Johanne Ulloa, Moderator von Podcast NoLimitSecu
Allerdings sind „die Lösungen von Drittanbietern, die nicht a priori von der IT-Abteilung validiert werden, nie langfristige Lösungen", relativiert Franck Nielacny, IT-Leiter bei Stormshield. „Selbst wenn das Tool funktioniert und von Teams angewendet wird, kann es sich als sehr kompliziert erweisen, es im Nachhinein in die offizielle IT des Unternehmens zu integrieren. Netzwerkerweiterungen, Zugriffsregeln oder Sicherheitsanforderungen sind alle mögliche Hemmnisse. Das gilt umso mehr, wenn es sich um persönliches Material handelt.“
Besser Sensibilisierung als Zwang
Welche Lösungen stehen IT-Leiter somit zur Verfügung, um der Entwicklung von Schatten-IT entgegenzuwirken ? „Es gibt drei Arten von Antworten. Eine präventive Achse, eine kurative Achse und eine zwingende Achse“, erklärt Johanne Ulloa. Im ersten Fall sind die IT-Leiter die Garanten für die Sensibilisierung der Mitarbeiter. Sie müssen über zu vermeidende schlechte Praktiken sprechen und anzuwendende bewährte Praktiken vermitteln. „Die Kunst der IT-Abteilung besteht daher darin, sich in Gespräche und Projekte zwischen Geschäftseinheiten „einzuschalten“, um die Sicherheit dieses Austauschs zu optimieren“, erklärt Franck Nielacny. So unauffällig wie möglich. Denn oft werden „die Sicherheitsebenen, die hinzugefügt werden, als störend empfunden“, sagt Paul Fariello. „Die Herausforderung besteht daher darin, Mittel zu implementieren, die sich perfekt in den Alltag der Mitarbeiter integrieren.“Der UX-Aspekt (User eXperience) und die Integration der IT in Entwicklungsprojekte spielen dabei eine wesentliche Rolle, so dass diese von der IT validierte Lösungen statt Drittanwendungen verwenden.
Die Kunst der IT-Abteilung besteht daher darin, sich in Gespräche und Projekte zwischen Geschäftseinheiten „einzuschalten“, um die Sicherheit dieses Austauschs zu optimieren.
Franck Nielacny, IT-Leiter bei Stormshield
Im Rahmen einer kurativen Politik wird die IT-Abteilung versuchen, „festzustellen, ob solche Dienste bereits vom Unternehmen genutzt werden, vor allem unter Verwendung technischer Ressourcen, wie der Prüfung von Logdateien“, erklärt Johanne Ulloa.
Die letzte Achse ist zwingend. Mit der Einführung der DSGVO haben einige Unternehmen ihre Richtlinien bereits verschärft. „Es gibt tatsächlich eine echte regelungsbezogene Herausforderung“, fährt er fort. „Durch die Nutzung von Anwendungen oder Diensten Dritter besteht die Gefahr, dass insbesondere bei der Handhabung personenbezogener Daten die Grundsätze der DSGVO nicht eingehalten werden.“Dennoch ist in Bezug auf letztere die Sensibilisierung immer noch der bessere Weg als zwingende Maßnahmen.
