Schatten-IT beschäftigt IT-Abteilungen schon seit geraumer Zeit. Bedingt durch das starke Anwachsen von Remote- und Hybrid-Arbeit ist die Anzahl der zu überwachenden Geräte, Anwendungen und Nutzerkonten in die Höhe geschnellt und der Überblick ging oft verloren.
Schatten-IT bezeichnet jede Art nicht verwalteter IT-Systeme, die von Beschäftigen genutzt werden, jedoch auf keinem Radar von IT- und Sicherheitsteams auftauchen; dazu zählen z.B. Cloud-Konten, Messaging-Apps, private Laptops oder Smartphones, die ohne Wissen der IT-Verantwortlichen eingesetzt werden. Und die Schatten-IT in Unternehmen nimmt immer weiter zu. Mehr als die Hälfte der Mitarbeiter in Unternehmen nutzen Applikationen oder Hardware, ohne dass die IT-Abteilung davon weiß.
Wie Schatten-IT entsteht
Will man Schatten-IT eindämmen, muss man sich bewusst machen, in welchem Umfeld sie entsteht und woran es liegt, dass auf nicht-gemanagte Apps und Dienste zurückgegriffen wird.
- Remote- und Hybrid-Arbeit
Um auch in entfernten und hybriden Arbeitsumgebungen uneingeschränkt produktiv sein zu können, verwenden Mitarbeiter viele Collaboration-Dienste, die sie in der geschützten Büroumgebung sonst nicht einsetzen. Als der Großteil der Belegschaft von heute auf morgen und vollkommen unvorbereitet ins Home-Office geschickt wurde, griffen viele Mitarbeiter spontan auf Tools zurück, deren Einsatz nicht explizit genehmigt war; z.B. für das Versenden von Textnachrichten oder die Freigabe von Daten. Durch diese unkontrollierten und teils unsicheren Dienste hat sich die Angriffsfläche in kürzester Zeit massiv vergrößert.
Das Gefährliche dabei ist, dass auch Remote-Mitarbeiter oft administrativen Zugriff auf lokale Workstations und Anwendungen haben. Wenn es einem Angreifer gelingt, sich Zugang zu einem Gerät mit lokalen Administratorrechten zu verschaffen, kann er diesen nutzen, um Passwörter zu stehlen, Malware zu installieren oder Daten zu exfiltrieren – möglicherweise schafft er es sogar, Zugriff auf die gesamte IT-Umgebung zu erlangen. - Nicht-verwaltete Browser
Der große Teil der Arbeitsabläufe findet über Browser statt, weshalb die meisten Nutzer gleich mehrere auf ihren Rechnern laufen haben. Werden die Browser von den Unternehmen nicht selbst verwaltet, entsteht eine große Sicherheitslücke. Das liegt insbesondere daran, dass Browser die Nutzer oft dazu auffordern, sensible Anmeldedaten oder Kennwörter zu speichern. Angreifer können diese Schwachstelle nutzen und erkennen in ungemanagten Browsern eine ideale Möglichkeit, um kritischen Informationen abzugreifen und sich so Zugang zu Systemen und Datenbanken zu verschaffen. - Produktivitäts-Apps
Productivity-Apps von Drittanbietern, die es den Nutzern ermöglichen, Aufgaben effektiv und schnell zu erledigen, sind sehr beliebt. Ob aus Google Play oder dem App Store heruntergeladen oder browserbasiert: Werden diese Anwendungen ohne Prüfung durch die IT-Abteilung heruntergeladen und installiert, drohen erhebliche Risiken. Denn den Nutzern ist oft nicht bewusst, dass diese beliebten Apps oft nicht über die nötigen Sicherheitskontrollen verfügen oder nicht so oft aktualisiert werden, wie es die unternehmensinternen Sicherheitsvorgaben verlangen. Häufig werden sensible Daten in allen möglichen Repositories gespeichert und kritische Geschäftsinformationen für den Rest des Teams nicht unkenntlich gemacht. Gleichzeitig kann die Software widersprüchliche Sicherheitsmodelle aufweisen, die nicht mit den Unternehmensrichtlinien für die Zugriffskontrolle oder Datennutzung übereinstimmen. - Schnelle Produktionszyklen
Unter dem Druck, schnell und effizient arbeiten zu müssen, sehen sich Entwickler häufig dazu gezwungen, die Sicherheit der Geschwindigkeit unterzuordnen. So richten Entwickler z.B. schnell Instanzen in der Cloud ein und lassen diese ebenso schnell wieder verschwinden. Allerdings verbleiben die Daten in der Cloud-Umgebung, ohne dass die IT- oder Sicherheits-Teams jemals etwas davon erfahren.
Mit Richtlinien die Kontrolle zurückzuerlangen
Solange die IT-Abteilung nicht in der Lage ist, allen Mitarbeitern Zugang zu sicheren Tools und nahtlose Arbeitsabläufe zu gewähren, besteht die Gefahr, die Dinge selbst in die Hand genommen werden. Wenn Schatten-IT nachhaltig eingedämmt werden soll, müssen es die IT- und Sicherheits-Teams schaffen, die Anforderungen an Datenschutz und -sicherheit mit den Produktivitätsanforderungen in Einklang zu bringen.
Dies gelingt am besten mit der Einführung und Durchsetzung von Richtlinien und Kontrolllö-sungen, die automatisiert im Hintergrund agieren und für Sicherheit sorgen. Für ein erstes Aufräumen empfehlen sich Tools, die alle unsicheren und unbekannten Anwendungen und Programme im eigenen Netzwerk aufspürt, und es ermöglicht, diese zu prüfen oder zu lö-schen. Obligatorisch sind auch Tools, die im Browser gespeicherte Passwörter sämtlicher Active-Directory-Nutzer identifizieren und anzeigen.
Darüber hinaus sollte eine richtlinienbasierte Anwendungskontrolle zum Einsatz kommen, die Anwendungen, die Benutzer herunterladen möchten, automatisch mit vertrauenswür-digen Anwendungen sowie den neusten Bedrohungsdaten zu verdächtigen Anwendun-gen abgleicht. Jede unbekannte, nicht vertrauenswürdige Anwendung wird dann zu-nächst zur weiteren Prüfung automatisch in eine Sandbox geschoben.
Transparenz, Automatisierung und Integration spielen bei der Eindämmung von Schatten-IT eine bedeutende Rolle und unterstützen Unternehmen dabei, ihre Angriffsfläche zu minimieren wie auch die Benutzerfreundlichkeit zu verbessern. IT-Abteilungen und Sicherheits-Teams müssen dabei strategisch denken und Entscheidungen treffen, die mit der langfristigen Ausrichtung des Unternehmens im Einklang stehen. Es ist wichtig, die Cyber-Sicherheit zukunftssicher zu gestalten, Einzellösungen zu eliminieren und funktionsreiche Technologien einzusetzen, die mit dem Unternehmen mitwachsen und im Laufe der Zeit einen Mehrwert schaffen können.
26.09.2022