Was ist Schatten-IT?
Schatten-IT ist eine einzigartige Art von Schwachstelle, da es keinen expliziten Angreifer gibt. Und die Risiken, die Schatten-IT mit sich bringt, sind größtenteils unbeabsichtigt. Aber das macht es nicht weniger besorgniserregend; Eines der größten Risiken sind vertrauliche Datenlecks, die für ein Unternehmen verheerende Folgen haben können.
In diesem Beitrag geht es darum, was Schatten-IT ist, welche Risiken sie mit sich bringt und wie Sie diese Risiken mindern können.
Was ist Schatten-IT?
Schatten-IT liegt vor, wenn Mitglieder einer Organisation beginnen, IT-Systeme (Geräte, Software, Dienste) ohne Genehmigung oder Wissen der IT-Abteilung der Organisation zu nutzen. Mit dem Aufkommen cloudbasierter Anwendungen ist Schatten-IT immer häufiger anzutreffen.
Schatten-IT ist per se kein Angriff und kann sogar den Vorteil haben, die Produktivität der Mitarbeiter zu steigern. Dennoch führt es zu einigen schwerwiegenden Schwachstellen innerhalb der Organisation, wie z. B. Datenlecks und potenziellen Compliance-Verstößen.
Was treibt Schatten-IT an?
Es scheint auf drei Hauptfaktoren hinauszulaufen:
- Der Wunsch der Mitarbeiter, effizienter zu arbeiten und Dinge zu erledigen
- Die schiere Anzahl an Geräten, Anwendungen und Diensten, die heute leicht zugänglich sind – insbesondere cloudbasierte Anwendungen.
- Der Aufstieg von Bringen Sie Ihr eigenes Gerät mit (BYOD)-Richtlinien am modernen Arbeitsplatz
Viele Mitarbeiter haben das Gefühl, dass sie die strengen Sicherheitsrichtlinien ihres Unternehmens umgehen müssen, um ihre Arbeit erledigen zu können. Möglicherweise kennen sie eine praktischere Dateifreigabe-App als die von der IT-Abteilung genehmigte Dateifreigabe-App. Sobald sie mit der Nutzung der ungeprüften App beginnen, könnte sich ihre Nutzung innerhalb des Unternehmens ausbreiten und zu einem blinden Fleck für die IT-Abteilung führen, die keinen Einblick in die Nutzung hat.
Außerdem verwenden wir nicht mehr viel Softwarepakete. Heutzutage können Sie fast alles mit ein paar Klicks herunterladen. Die Risiken der Schatten-IT waren also noch nie so groß.
Hinzu kommt die Tatsache, dass viele Unternehmen ihren Mitarbeitern gestatten, ihre eigenen Geräte mitzubringen und diese für Arbeitszwecke zu verwenden. Daraus lässt sich erkennen, dass die Tür zur Schatten-IT an den meisten Arbeitsplätzen weit offen steht.
Beispiele für Schatten-IT
- Wie oben erwähnt, könnte es sich um eine Einzelperson oder eine Abteilung (Schatten-IT nimmt nach der Einführung tendenziell zu) innerhalb einer Organisation handeln, die aus irgendeinem Grund (Funktionen, Benutzerfreundlichkeit usw.) eine andere Dateifreigabelösung übernimmt als der Rest der Organisation. Verfügbarkeit usw.).
- Ein Mitglied des Marketingteams nutzt ein Online-Grafikdesign-Tool, um benutzerdefinierte Grafiken für eine neue Kampagne zu erstellen.
- Mitarbeiter, die vertrauliche Informationen über ihre persönlichen E-Mail-, WhatsApp- oder Telegram-Konten austauschen.
Schatten-IT-Verbindungspunkte
Ein großes Problem bei der Nutzung nicht autorisierter Apps für die Arbeit besteht darin, dass Mitarbeiter diese Systeme nicht zu ihrem eigenen Vergnügen nutzen, sondern für geschäftliche Aufgaben, sodass es immer einen Punkt geben wird, an dem Daten ausgetauscht werden müssen zwischen den nicht autorisierten Apps und dem Unternehmenssystem. Beispielsweise erfordern die auf diesen externen Systemen ausgeführten Aufgaben irgendwann die Eingabe der Unternehmensdaten oder die Ausgabe dieser Apps in das Unternehmenssystem.
Die Verbindungspunkte zwischen dem IT-System und nicht autorisierten Apps schaffen große Schwachstellen. App-Berechtigungen, die beiläufig gewährt werden, ermöglichen diesen nicht autorisierten Apps den Zugriff auf die Ressourcen des Unternehmens. Dadurch besteht die Möglichkeit, dass schlecht geprüfte Apps Daten preisgeben, entweder aus böswilliger Absicht oder aufgrund mangelnder Sicherheit innerhalb der Anwendung. Über diese Verbindungen können Daten nach außen und Viren eindringen.
Glücklicherweise bieten diese Verbindungspunkte Systemadministratoren die Möglichkeit, nicht autorisierte Anwendungen zu verfolgen. Durch die Untersuchung des Zugriffs auf autorisierte SaaS- und On-Premise-Systeme ist es möglich zu erkennen, wo nicht genehmigte Software von Drittanbietern eine Verbindung zu den Diensten des Unternehmens herstellt.
SpinOne (KOSTENLOSE TESTVERSION)
SpinOneausspin.aiist ein Beispiel für einen Schatten-IT-Detektor. Dieses Tool operiert in einem neuen Bereich der Cybersicherheit, der aufgrund des Aufkommens der Schatten-IT erst seit Kurzem zu einer Notwendigkeit geworden ist. Der Spin.ai SaaS-Anwendungsaudit Modul ist ein Schatten-IT-Abwehrdienst. Es handelt sich um eine SaaS-Plattform, die Verbindungen von Apps zu SaaS-Konten von Unternehmen scannen kann.
Der Prüfdienst erstellt einen Bericht über die Nutzung der SaaS-Plattform und setzt maschinelles Lernen ein, um neue Zugriffsvektoren zu erkennen, sodass Administratoren schnell erkennen können, welche Dienste kompromittiert wurden und mit welchem Benutzerkonto sich das externe System verbindet.
Das SaaS-Anwendungsaudit ist nur einer der innovativen Cybersicherheitsdienste, die Spin.ai anbietet. Das Paket wird an ein Unternehmenskonto für Salesforce, Office 365 oder Google G Suite (Google Workspace) angehängt. Der beste Weg, einen Blick auf die Funktionsweise dieser Schutz-, Risikobewertungs- und Compliance-Tools zu werfen, besteht darin, selbst auf die Plattform zuzugreifen. Dank a können Sie dies kostenlos tun15-tägige kostenlose Testversion.
SpinOne Greifen Sie auf eine 15-tägige KOSTENLOSE Testversion zu
Risiken der Schatten-IT
Aufgrund der Natur der Schatten-IT sind die damit verbundenen Risiken nicht sofort offensichtlich. Die folgende Liste enthält die häufigsten Risiken im Zusammenhang mit Schatten-IT.
Verlust der Kontrolle und Sichtbarkeit
Je mehr Ihre proprietären Daten über Schatten-IT-Kanäle fließen, desto weniger Kontrolle und Transparenz kann die IT-Abteilung Ihres Unternehmens ausüben. Dies kann dazu führen, dass Notfallwiederherstellungsmaßnahmen nicht durchgeführt werden können, dass Sicherheits- und Regulierungsvorschriften nicht eingehalten werden und Daten verloren gehen. Wenn Ihre IT-Abteilung keinen Einblick in die Datenflüsse des Unternehmens hat, fällt es ihr möglicherweise schwerer, richtig auf IT-Probleme zu reagieren.
Datenverlust
Wie oben erwähnt ist Datenverlust eines der häufigsten Risiken im Zusammenhang mit Schatten-IT. Ihr Unternehmen kann leicht den Zugriff auf Schatten-Cloud-basierte Daten verlieren, beispielsweise wenn dieser Mitarbeiter das Unternehmen verlässt. Mitarbeiter könnten ihr persönliches Dropbox-Konto zum Speichern von Kundenverträgen, Besprechungsnotizen und sensiblen Unternehmensberichten und Projektdokumentationen verwenden. Wenn einer dieser Mitarbeiter aus irgendeinem Grund das Unternehmen verlässt, kann es schwierig sein, wieder Zugriff auf diese Informationen zu erhalten, da sie im persönlichen Konto dieses Benutzers gespeichert sind. Und kostenpflichtige Cloud-Dienste können schnell beendet werden, wenn Benutzer ihre Rechnungen nicht mehr bezahlen.
Kosten
Je häufiger Ihr Unternehmen im Alltag Schatten-IT-Ressourcen nutzt, desto höher ist die Wahrscheinlichkeit, dass diese Schatten-IT-Komponenten zu einem kritischen Bestandteil Ihrer Projekte werden. Wenn Sie sich einmal in dieser Situation befinden und die Ressourcen skalieren müssen, um die Aufgabe abzuschließen, sind die Kosten, die der Organisation durch die weitere Nutzung des Dienstes entstehen, möglicherweise zu hoch, um gerechtfertigt zu sein. Dies ist ein häufiges Problem bei Software-as-a-Service-Anwendungen (SaaS) wie Online-Speicherdiensten.
IT-Ineffizienzen
Das Speichern und Verwenden von Daten in verschiedenen und nicht rechenschaftspflichtigen Silos innerhalb Ihres Unternehmens ist ineffizient. Wenn die Organisation ihre eigenen Datenflüsse nicht kennt, kann die IT-Abteilung die Kapazität, Systemarchitektur, Sicherheit und Leistung im gesamten Unternehmen nicht richtig planen. Analysen und Berichte werden komplexer und weniger zuverlässig, was wiederum dazu führen kann, dass Ihr Unternehmen sowohl Zeit als auch Geld verliert.
Nichteinhaltung
Wenn Ihr Unternehmen strenge Compliance-Anforderungen einhalten muss, wie es beispielsweise bei staatlichen Auftragnehmern der Fall ist, können die Risiken durch Schatten-IT weitreichende Folgen haben. Schatten-IT führt entweder dazu, dass Sie die Compliance nicht einhalten, oder es entstehen zusätzliche Prüfpunkte, an denen Ihr Unternehmen einen Compliance-Nachweis erbringen muss. Nehmen wir an, der Mitarbeiter einer Organisation, der als Auftragnehmer der Regierung arbeitet, speichert sensible Regierungsdaten in seinem persönlichen Cloud-Speicherkonto. Möglicherweise muss Ihre Organisation den Umfang und die Auswirkungen dieses „Verstoßes“ für jeden betreffenden Datenpunkt prüfen, identifizieren und offenlegen. Zusätzlich zur potenziellen Gefährdung sensibler Informationen durch Cyber-Angriffe kann Ihr Unternehmen auch mit Klagen und Bußgeldern wegen Nichteinhaltung rechnen, was nicht nur kostspielig ist, sondern auch dem Ruf Ihrer Marke schaden kann.
Distributed Denial of Service (DDoS)-Angriffe
DDoS-Angriffe In der Regel handelt es sich dabei um die Entführung schlecht geschützter angeschlossener Geräte. Dabei kann es sich um das BYOD-Smartphone eines Mitarbeiters oder ein vernetztes Internet-of-Things-Gerät (IoT) handeln. Sobald das Gerät kompromittiert ist, wird es zur Bombardierung des Netzwerks verwendet Domain Name Server (DNS) mit Anfragen so weit, dass es zu einer erheblichen Verlangsamung der Verarbeitung von Anfragen kommt, möglicherweise bis zum Absturz des Netzwerks.
Ungesicherte Geräte sind anfällig für Ransomware und andere Malware
Je mehr ungesicherte Geräte Zugriff auf Ihr Netzwerk haben, desto höher ist Ihr Risiko für alle Arten von Online-Bedrohungen. Ransomware und andere Schadsoftware das sich durch eine Phishing-Kampagne oder einen versehentlichen Download auf einem Gerät mit Zugriff auf das Netzwerk Ihres Unternehmens befindet, kann Ihre Infrastruktur zerstören und zu kritischen Datenverlusten führen.
Erweitern Sie Ihre Angriffsfläche
Je mehr Schatten-IT-Ressourcen in Ihrem Unternehmen genutzt werden, desto größer wird seine Angriffsfläche. Die Angriffsflächen der Organisation nehmen durch Schatten-IT zu, aber die IT-Abteilung Ihres Unternehmens weiß erst dann, wie groß sie ist, wenn sie weiß, dass jede Schatten-IT-Komponente intern verwendet wird. Schatten-IT bedeutet, nicht verwaltete Datenrepositorys außerhalb der Sicherheitsgrenzen des Unternehmens zu haben. Und etwas so Albernes wie schwache oder standardmäßige Anmeldeinformationen könnten diese nicht verwalteten Vermögenswerte dem Internet zugänglich machen. Darüber hinaus bietet Ihr Unternehmen Penetrationstests, Intrusion Detection usw. Sicherheitsinformationen und Eventmanagement (SIEM)-Systeme oder die Verwaltung von Bedrohungsprotokollen können die Schatten-IT nicht abdecken, sodass Sie potenziell gefährdet sind.
Schatten-IT-Statistiken
Hier nur einige Statistiken zur Schatten-IT aus dem Jahr 2020 (Quelle: track.g2.com ):
- 80 % der Arbeitnehmer gaben an, SaaS-Anwendungen am Arbeitsplatz ohne IT-Genehmigung zu nutzen.
- Nutzung der Schatten-IT-Cloud wird geschätzt zehn Mal die Größe von Bekannte Cloud-Nutzung .
- Das durchschnittliche Unternehmen hat ca 108 bekannte Cloud-Dienste vs. 975 unbekannte Cloud-Dienste .
- 35 % der Mitarbeiter geben an, dass sie die Sicherheitsrichtlinien ihres Unternehmens umgehen müssen, um ihre Arbeit erledigen zu können.
- Etwa einundzwanzig% der Organisationen verfügen über keine Richtlinien zum Einsatz neuer Technologien.
- 67 % der Teams nutzen im Alltag ihre eigenen Kollaborationstools.
So mindern Sie die Risiken der Schatten-IT in Ihrem Unternehmen
Die folgenden Tipps sollen Ihnen helfen, die Risiken der Schatten-IT zu mindern. Sie sollten sich bemühen, so viele wie möglich umzusetzen.
- Verfügen Sie über eine explizite Richtlinie – Sie sollten sicherstellen, dass Ihr Unternehmen über eine Schatten-IT-Richtlinie verfügt und diese der gesamten Belegschaft angemessen kommuniziert. Ihre erste Verteidigungslinie gegen die Risiken der Schatten-IT sollte Achtsamkeit sein. Ihre Mitarbeiter sollten sich der Risiken bewusst sein, die mit der Nutzung ungeprüfter Software, Hardware und Cloud-Dienste einhergehen.
- Nutzen Sie einen einfachen Genehmigungsprozess für neue Werkzeuge – Es ist keine erfolgreiche Strategie, Ihre Mitarbeiter davon abzuhalten, mit neuen und besseren Tools zu experimentieren und diese vorzuschlagen, um ihre Arbeit zu erledigen. Sie möchten nicht nur, dass die Beiträge Ihrer Mitarbeiter Ihre Abläufe reibungsloser und effizienter machen, sondern diese Starrheit könnte auch Innovationen in Ihrem Unternehmen behindern. Die Implementierung eines klaren und unkomplizierten Genehmigungsprozesses für neue Software und Tools ist eine bessere Option. Auf diese Weise fühlen sich die Mitarbeiter wohl, wenn sie zur IT-Abteilung kommen, um die Möglichkeit des Einsatzes neuer Tools zu besprechen, und die IT-Abteilung hat weiterhin Einblick in die Vorgänge und kann die Infrastruktur des Unternehmens ordnungsgemäß sichern.
- Benutzerberechtigungen verwalten – Die Verwaltung der Benutzerberechtigungen im Netzwerk Ihres Unternehmens ist etwas, das Sie tun sollten, unabhängig von Schatten-IT-Risiken. Diese Vorgehensweise kann Ihnen viel Ärger ersparen, wenn eines der Geräte Ihrer Benutzer kompromittiert wird. Durch die Verwaltung von Benutzerberechtigungen wird der Schaden, der im Falle eines Verstoßes entstehen kann, abgegrenzt. Wenn Sie in einem Schatten-IT-Kontext die Benutzerberechtigungen so festlegen, dass die Installation „fremder“ Software oder die Verbindung unbekannter Geräte mit dem Netzwerk nicht zulässig ist, werden Ihre Benutzer wahrscheinlich dazu gezwungen, sich an die IT-Abteilung zu wenden und das Problem zu besprechen. In Verbindung mit dem oben genannten Punkt würde dies dazu führen, dass die Software, der Dienst oder das Gerät offiziell genehmigt wird, wodurch die Fähigkeit der IT erhalten bleibt, zu wissen, was passiert, und das Netzwerk zu sichern.
- Richten Sie Endpunktschutz- und Überwachungsmechanismen ein – Einer der Hauptgründe, warum Schatten-IT als Bedrohung angesehen wird, liegt darin, dass Endpunkte ein häufiges Ziel für böswillige Akteure sind. Durch die Einrichtung robuster Endpunktschutz- und Überwachungsmechanismen ist Ihr Unternehmen in der Lage, verdächtige Aktivitäten zu erkennen und schnell darauf zu reagieren.
- Verstärken Sie die DNS-Sicherheit auf Netzwerkebene – Die meisten Unternehmensnetzwerke sind stark auf DNS angewiesen. Aus diesem Grund sind DNS-Server ein häufiges Ziel für böswillige Akteure, da der DNS-Server wertvolle Informationen über das Netzwerk enthalten kann. Gängige Sicherheitstools wie Firewalls und Proxyserver konzentrieren sich normalerweise nicht auf DNS. Sobald der DNS-Server jedoch gesichert ist, kann er Ihre erste Verteidigungslinie sein. Durch die Überwachung des DNS Ihres Netzwerks kann die IT-Abteilung Netzwerkanomalien erkennen und Einblick in die Geräte erhalten, die dem Netzwerk beitreten oder es verlassen, was bei Problemen eine kürzere Reaktionszeit ermöglicht.
- Stellen Sie sicher, dass Sie einen Cloud Access Security Broker (CASB) verwenden. - A CASB ist eine Software, die Aktivitäten zwischen Benutzern und Cloud-Anwendungen überwachen und Sicherheitsrichtlinien durchsetzen kann. Die meiste CASB-Software kann in SIEM-Systeme (Security Information and Event Management) integriert werden, wodurch Ihre Protokollsammlung optimiert wird und Ihre IT-Abteilung die Cloud-Nutzung mit anderen Aktivitäten korrelieren kann.
- Verfügen Sie über ein automatisiertes Asset-Management-Tool – Dadurch kann Ihre IT-Abteilung nach nicht autorisierter Hardware, Software und Diensten suchen.
Abschluss
Da haben Sie es also. Schatten-IT ist eine einzigartige Art von Schwachstelle – eine Schwachstelle, die auf menschlichem Verhalten beruht. Die damit verbundenen Risiken sind ziemlich groß, daher ist es wichtig, die Schatten-IT im Auge zu behalten, wenn Sie versuchen, ein Netzwerk zu sichern – auch wenn dies möglicherweise nicht die erste Bedrohung ist, die Ihnen in den Sinn kommt, wenn Sie versuchen, Ihre Infrastruktur zu sichern. Der Schutz vor den Risiken der Schatten-IT erfordert eine Mischung aus Richtlinien (menschliches Verhalten) und technischen Abwehrmaßnahmen (CASM, SIEB, Endpunktschutz usw.).
Hoffentlich hilft das oben Genannte. Und mit etwas Glück müssen Sie sich vielleicht nie mit den Folgen der Schatten-IT auseinandersetzen.
Bleib sicher.