Sponsored

Wie Sie die Risiken der Schatten-IT verringern

  • security
  • ispin
image

Die Cloud ist allgegenwärtig: Grosse Unternehmen nutzen rund 1300, mittelgrosse rund 500 Cloud-Services. Für die IT-Sicherheit ein Problem - denn die IT-Abteilung kontrolliert nur 2 % dieser Cloud-Services. Die anderen 98 % sind Teil der Schatten-IT, welche eine Reihe von Risiken mit sich bringt.

Der Begriff Schatten-IT meint alle IT-Systeme, -Lösungen, -Geräte oder -Technologien, die in einem Unternehmen ohne das Wissen und die Genehmigung der IT-Abteilung verwendet werden. Dazu gehören:
  • Persönlich beschaffte Software, die auf Unternehmensressourcen installiert ist
  • Cloud-basierte Speicherlösungen
  • SaaS-Anwendungen von Drittanbietern (Datenanalyse, Business Intelligence, HR, usw.)
  • Drahtlose Zugangspunkte, Router, Switches, Drucker, PCs - im Grunde alles, was mit dem Netzwerk einer Organisation verbunden ist
  • Physische Speichergeräte (externe Festplatten und USB-Sticks)
  • Chat-/Messaging-Anwendungen
Die Verwendung solcher nicht genehmigter Tools, Software und Geräte ist eine Gefahr für die kritischen Ressourcen eines Unternehmens.

Gründe für die Entstehung von Schatten-IT

Warum nutzen Mitarbeitende Schatten-IT? Häufig liegt der Grund schlichtweg darin, dass sie die IT-Lösungen des Unternehmens für nicht ausreichend, ineffizient oder für zu kompliziert halten. Daher werden Lösungen gesucht, mit denen die Arbeit schneller und besser erledigt werden kann. Ein wesentlicher Aspekt ist zudem, dass sich die meisten Mitarbeitenden der Sicherheitsrisiken von Schatten-IT nicht bewusst sind. Auf der anderen Seite unterschätzen IT-Verantwortliche häufig das Ausmass der Schatten-IT in ihrem Unternehmen: Ein durchschnittliches Unternehmen nutzt über 1000 Cloud-Dienste, aber die IT-Abteilung weiss nur von 108.

Risiken der Schatten-IT

Schatten-IT bringt eine ganze Reihe von Gefahren mit sich:
  1. Fehlende IT-Kontrolle Wenn die IT-Abteilung nicht weiss, welche Software im Unternehmensnetzwerk vorhanden ist, kann sie nicht überprüfen, ob diese sicher ist. Denn Richtlinien, Verfahren und Sicherheitskontrollen können nicht auf unbekannte Ressourcen angewandt werden.
  2. Datenverlust und Datenlecks Bei der Verwendung von Schatten-IT-Lösungen können Mitarbeitende Zugriff auf Daten erhalten, auf die sie eigentlich keinen Zugriff haben sollten. Ein noch grösseres Problem ist das Risiko des Datenverlusts.
  3. Ungepatchte Sicherheitslücken und Fehler Software-Anbieter veröffentlichen ständig neue Patches, um Schwachstellen und Fehler in ihren Produkten zu beheben. Normalerweise ist es Aufgabe des IT-Teams, diese Aktualisierungen im Auge zu behalten und sie rechtzeitig einzuspielen. Bei der Schatten-IT können die Administratoren jedoch nicht alle Produkte und Geräte auf dem neuesten Stand halten, weil sie nichts von deren Existenz wissen.
  4. Probleme mit der Einhaltung von Vorschriften Schatten-IT kann die Einhaltung verschiedener Vorschriften, Standards und Gesetze verletzen, was wiederum zu Geldstrafen, Klagen und Reputationsverlusten führen kann. Nach der Datenschutzgrundverordnung (GDPR) sind Unternehmen beispielsweise verpflichtet, die personenbezogenen Daten ihrer Nutzer rechtmässig, fair und transparent zu verarbeiten. Aber ohne die gesamte von ihren Mitarbeitenden verwendete, Software zu kennen, können IT-Verantwortliche nicht sicherstellen, dass nur autorisierte Mitarbeitende auf sensible Daten zugreifen können.
  5. Ineffizienzen Auch wenn die Steigerung der Effizienz einer der Gründe ist, warum viele Menschen Schatten-IT einsetzen, ist die Wahrscheinlichkeit gross, dass das Ergebnis genau das Gegenteil ist. Jede neue Technologie muss vom IT-Team geprüft und getestet werden, bevor sie in die Unternehmensinfrastruktur integriert wird. Nur so kann sichergestellt werden, dass die neue Software ordnungsgemäss funktioniert und es nicht zu Software- und Hardwarekonflikten oder schwerwiegenden Ausfällen kommt.
  6. Finanzielle Risiken Nicht genehmigte Software und Dienste duplizieren oft die Funktionen genehmigter Software und Dienste, was bedeutet, dass das Unternehmen Geld ineffizient ausgibt. Ausserdem können Schatten-IT-Risiken zu echten Vorfällen führen, die wiederum Kosten für die Schadensbegrenzung, Geldstrafen für die Nichteinhaltung von Cybersicherheitsanforderungen und Anwaltskosten nach sich ziehen.

Wie Sie Schatten-IT eliminieren können – 5 Massnahmen

Wie aber kann man etwas stoppen, von dem man nichts weiss? Ohne Wissen gibt es keine Kontrolle. Daher muss zunächst Sichtbarkeit hergestellt werden. Wird der Schatten bis in die letzten Winkel ausgeleuchtet, lässt sich feststellen, wie gross das Problem im Unternehmen tatsächlich ist. Das ISPIN Cloud Consumption Risk Assessment etwa verschafft Ihnen einen Ein- und Überblick in die Cloud- und Webnutzung sowie in managed und unmanaged Apps in Ihrem Unternehmen. Ein detaillierter Bericht inklusive konkreter Handlungsempfehlungen unterstützt Sie zudem bei der Risikoanalyse und bei der Steuerung. Mit diesem Assessment haben Sie den ersten und wichtigsten Schritt getan, um die Schatten-IT in Ihrem Unternehmen zu eliminieren. Darüber hinaus empfehlen sich folgende Massnahmen:
  1. Erstellen Sie eine flexible Unternehmensrichtlinie Eine gut durchdachte Unternehmensrichtlinie, die sich mit den wichtigsten Fragen der Cybersicherheit in Ihrem Unternehmen befasst, ist ein Muss.
  2. Risikobewusstsein schaffen Klären Sie Ihre Mitarbeitenden über die möglichen Folgen der Verwendung von nicht genehmigter Soft- und Hardware auf. Ausserdem können Sie Ihre Mitarbeitenden dazu ermutigen, die Schwierigkeiten, die sie mit genehmigten Lösungen haben, und die wahren Gründe für den heimlichen Einsatz von Alternativen transparenter darzustellen.
  3. Stellen Sie die notwendigen Tools zur Verfügung Überprüfen Sie, ob die genehmigten Lösungen die Anforderungen der Mitarbeitenden erfüllen und verhindern Sie durch das Bereitstellen der nötigen Werkzeuge, dass diese sich der Schatten-IT zuwenden. Eine gute Praxis ist es, einen Raum für eine offene Kommunikation zwischen den Mitarbeitenden und der IT-Abteilung zu schaffen. Wenn Sie erfahren, was Ihre Mitarbeitenden wirklich brauchen, können Sie effiziente Software finden. Sorgen Sie dafür, dass Ihre IT-Abteilung Lösungen in Betracht zieht, die sowohl sicher als auch bequem sind.
  4. Behalten Sie die Cloud dauerhaft im Auge Nicht alle Cloud-basierten Dienste bieten eine angemessene Datensicherheit. Verschaffen Sie sich einen Überblick darüber, welche Cloud-Dienste in Ihrem Unternehmen genutzt werden, wie sicher diese Dienste sind und analysieren Sie auch den Datenverkehr in Richtung Cloud.
  5. Überwachen Sie Ihre Netzwerke und Mitarbeiteraktivitäten Die Überwachung der Vorgänge in Ihrem Unternehmensnetzwerk ist eine effektive Methode, um Informationen über die Software, Anwendungen und Webressourcen zu sammeln, mit denen Ihre Mitarbeitenden arbeiten. Auf der Grundlage dieses Wissens können Sie feststellen, wer in Ihrem Unternehmen wann mit nicht genehmigten IT-Lösungen arbeitet.

Bringen Sie Licht ins Dunkle!

Vermeiden Sie Security- und Compliance-Risiken und Datenverluste. Setzen Sie das dunkle Reich der Schatten-IT ins Licht und schaffen Sie die Voraussetzung für eine höhere Sicherheit und Compliance in Ihrem Unternehmen. Fragen Sie uns nach dem Cloud Consumption Risk Assessment – unsere Cybersecurity-Experten beraten und unterstützen Sie gerne.
Lesen Sie in unserem Whitepaper wie Unternehmen Schatten-IT sichtbar machen und absichern können.
Jetzt herunterladen
image

ISPIN AG www.ispin.ch +41 44 838 31 11 [email protected]

Loading

Mehr zum Thema

image

IT-Fachkräftemangel: Wie Wachstum dennoch gelingt

Der Fachkräftemangel ist akuter denn je, besonders in der IT und Cyber Security. Gleichzeitig steigt die Nachfrage nach entsprechenden Services kontinuierlich. Wie gelingt der Spagat zwischen Wachstum und dem «War of Talents»? Rita Kaspar, Head of HR bei InfoGuard AG, gibt Auskunft.

image

Luzerner können Wille zur Organspende in App hinterlegen

Patientinnen und Patienten des Luzerner Kantonsspitals können ihre Entscheidung zur Organspende neu in der Patienten-App ablegen.

publiziert am 26.1.2023
image

Cyberkrimineller erbeutet Meldedaten fast aller Österreicher

Ein Fauxpas bei einem Wiener IT-Unternehmen machte einen grossen Datendiebstahl möglich. Die Spuren führen in die Niederlande.

publiziert am 26.1.2023
image

Datenleck bei der Fremdsprach-App Duolingo?

In einem Forum werden die Daten von 2,6 Millionen Accounts zum Verkauf angeboten. Doch das Unternehmen bestreitet eine Sicherheitsverletzung.

publiziert am 25.1.2023