Was ist Schatten-IT?

November 28, 2022

Schatten-IT ist die unerlaubte Nutzung digitaler Services oder Geräte, die nicht formell von der IT-Abteilung genehmigt wurden und unterstützt werden. Beispiele für Schatten-IT sind:

  • Erstellung von Cloud-Workloads mithilfe privater Konten oder Anmeldedaten
  • Kauf von SaaS-Anwendungen (Software-as-a-Service) oder anderen Cloud-Service-Abonnements unterhalb der Kaufschwelle der IT
  • Nutzung von Workflow- oder Produktivitätsanwendungen wie Trello oder Asana
  • Nutzung öffentlicher Cloud-Services wie Google Drive oder Box zum Speichern, Abrufen oder Weitergeben von Daten oder anderen Assets
  • Verwendung von Messaging-Plattformen oder Kommunikationsanwendungen wie WhatsApp oder Zoom für die arbeitsbezogene Kommunikation

In der Regel setzen Benutzer Schatten-IT ein, um ihre Arbeit schneller erledigen zu können. Allerdings weiß das IT-Team nichts von der Nutzung dieser Services, sodass sie auch nicht durch die Cybersicherheitslösungen oder -protokolle des Unternehmens geschützt sind. Cloud-Workloads und andere von Entwicklern verwendete Services können schwerwiegende Schwachstellen enthalten, z. B. Konfigurationsfehler und nicht geänderte Standardkennwörter. Dadurch steigt insbesondere die Gefahr von Datenkompromittierungen für das Unternehmen exponentiell, aber auch die Gefahr von Compliance-Verstößen und anderen Haftungsproblemen.

WEITERE INFORMATIONEN

Erfahren Sie, wie Sie Ihre Cloud-Sicherheitsaufstellung und Compliance verbessern können, indem Sie die häufigsten Herausforderungen der Cloud-Sicherheit in Multi- und Hybrid-Cloud-Umgebungen bewältigen. Infografik herunterladen

Warum ist die Schatten-IT ein zunehmendes Problem?

Aufgrund von Initiativen zur Unternehmenstransformation hat sich die Nutzung von Schatten-IT in den letzten Jahren immer mehr verbreitet. In einer im Jahr 2019 veröffentlichten Studie geht Everest Group davon aus, dass fast die Hälfte aller IT-Ausgaben „im Schatten verborgen“ ist. Und diese Zahlen stammen noch aus der Zeit vor der Pandemie! Wahrscheinlich hat der plötzliche massenhafte Wechsel ins Homeoffice aufgrund der COVID-19-Beschränkungen die Nutzung von Schatten-IT weiter verstärkt, da Mitarbeiter in einer neuen Umgebung mit begrenzten Ressourcen Schwierigkeiten hatten, produktiv zu bleiben.

Die Nutzung von Schatten-IT ist nur selten mit böswilligen Absichten verbunden. Stattdessen ist sie das Ergebnis von Mitarbeitern, die zur Erledigung ihrer Aufgaben schnellen, flexiblen und reibungslosen Zugang zu verschiedenen Tools und Anwendungen benötigen.

Die Einführung von DevOps ist ein sehr häufiger Grund für die Verbreitung von Schatten-IT. Cloud- und DevOps-Teams arbeiten gerne schnell und reibungslos, was sich jedoch nur schwer mit dem für das Sicherheitsteam erforderlichen Maß an Transparenz und Verwaltung vereinen lässt. Wenn Entwickler mit ihren privaten Anmeldedaten einen Cloud-Workload erstellen, tun sie das nicht aufgrund persönlicher Vorlieben oder aus Böswilligkeit, sondern weil die Nutzung der zulässigen internen Kanäle die Arbeit verzögert und das ganze Team dadurch eine Frist versäumen könnte.

Es geht also nicht darum, die Nutzung von Schatten-IT per se zu unterbinden, sondern um die Bereitstellung der Ressourcen, die Mitarbeiter zum schnellen Erreichen von Geschäftszielen im großen Maßstab benötigen.

Risiken und Vorteile von Schatten-IT

Für IT- und Cybersicherheitsverantwortliche ist die Schatten-IT ein Problem, das bewältigt werden muss, um den Überblick über das Netzwerk sowie dessen Sicherheit zu gewährleisten. Doch was ist mit Mitarbeitern, die diese Assets für ihre Arbeit nutzen, und Managern, die davon wissen, dieses Vorgehen aber ignorieren? Schatten-IT bietet durchaus gewisse Vorteile, doch wiegen diese Vorteile wirklich die Risiken auf?

Nachfolgend gehen wir genauer auf die Vorteile und Risiken von Schatten-IT ein, um zu zeigen, was auf dem Spiel steht und warum IT-Teams Prozesse und Verfahren verbessern müssen, um die Benutzerfreundlichkeit und Schnelligkeit von Schatten-IT nutzbar zu machen, ohne unnötige Risiken zu verursachen.

Vorteile von Schatten-IT

Schatten-IT birgt enorme Risiken für das Unternehmen, bietet aber auch erhebliche Vorteile. Dazu gehören:

  • Schnellerer Zugang zu benötigten Ressourcen, wodurch die Effizienz verbessert wird und Innovationen vorangetrieben werden
  • Kostensenkung durch die Nutzung kostenloser oder kostengünstiger cloudbasierter Services
  • Optimierter Einsatz eingeschränkt verfügbarer IT-Ressourcen (einschließlich Personal) durch Selfservice bei einfachen Anfragen
  • Verbesserte Kommunikation und Zusammenarbeit durch sehr intuitive und leicht zugängliche Anwendungen und Plattformen
  • Positive Benutzererfahrung durch die Reduzierung des Verwaltungs- und Bürokratieaufwands

Risiken von Schatten-IT

Auch wenn die Schatten-IT viele eindeutige Vorteile bietet, dürfen Unternehmen die Risiken durch nicht autorisierte Tools, Anwendungen oder Geräte nicht unterschätzen, da jedes dieser Assets als Einfallstor für Cyberkriminelle missbraucht werden kann. Unternehmen haben es mit einer immer schwierigeren Bedrohungslandschaft zu tun. Daher ist es wichtig, die durch Schatten-IT verursachten Risiken zu minimieren. Zu den Risiken gehören:

Fehlende Transparenz und Kontrolle

Ein wichtiger Merksatz lautet: Sie können nur das schützen, was Sie auch sehen.

Per Definition liegt Schatten-IT außerhalb des für die IT-Sicherheit sichtbaren Bereichs, wodurch die Wahrscheinlichkeit steigt, dass Schwachstellen, Konfigurationsfehler und Richtlinienverstöße unbemerkt bleiben.

Die zunehmende Selbst-Provisionierung durch Benutzer kann durchaus Abläufe beschleunigen, doch damit sind Nachteile für die Sicherheit verbunden. Wenn Sie die Provisionierung dezentralisieren, können Sie eine Umgebung schaffen, die mehr Agilität ermöglicht, ohne die Transparenz zu beeinträchtigen.

WEITERE INFORMATIONEN

In diesem Whitepaper erfahren Sie, welche Protokollierungs- und Transparenzoptionen Amazon Web Services (AWS) und Google Cloud Platform (GCP) bieten, welche Schwachstellen sie haben und Sie diese beseitigen können.Herunterladen: How To Find and Eliminate Blind Spots in the Cloud

Datenverlust

Eine weitere Herausforderung der Schatten-IT ist, dass in privaten Konten gespeicherte Daten und Assets für andere Benutzer im Unternehmen nicht zugänglich sind. Wenn ein Mitarbeiter kündigt oder entlassen wird, hat er möglicherweise weiterhin Zugriff auf die in der Cloud gespeicherten Assets – das Unternehmen hingegen nicht mehr.

Außerdem muss bedacht werden, dass Schatten-IT nicht den im Unternehmen geltenden Richtlinien und Verfahren unterliegt, sodass in einem Cloud-Server gespeicherte Daten zum Beispiel nicht gesichert, archiviert oder verschlüsselt werden.

Ausweitung der Angriffsfläche

Die Gefahr von Datenverlusten bereitet Unternehmen erhebliche Sorgen – das Risiko von Datendiebstahl ist aber vielleicht noch deutlich größer.

Mit jedem Schatten-IT-Asset wächst die Angriffsfläche von Unternehmen. Da Schatten-IT für das IT- oder Cybersicherheitsteam des Unternehmens nicht sichtbar ist, werden diese Assets von den Cybersicherheitslösungen des Unternehmens wie Services für endpunktbasierte Detektion und Reaktion (EDR), Virenschutz der nächsten Generation (NGAV) oder Bedrohungsanalysen nicht geschützt.

Zudem werden Schatten-IT-Services oft mit schwachen oder Standard-Anmeldedaten erstellt oder falsch konfiguriert, wodurch sich Möglichkeiten für Exploits durch Angreifer eröffnen, die dann in das eigentliche Unternehmensnetzwerk eindringen können.

Ineffiziente Systeme

Schatten-IT hat tendenziell mehrere Ursachen: Wenn Mitarbeitern keine geeigneten Ressourcen zur Erledigung ihrer Aufgaben bereitgestellt werden und diese dann versuchen, dies durch Selbstprovisionierung zu beheben, übersieht das Unternehmen eher, dass Infrastrukturinvestitionen und neue Kompetenzen oder Verfahren notwendig sind.

Außerdem fehlt Unternehmen im Falle von Schatten-IT die zentrale Informationsquelle für Daten, d. h. Datenanalysen und die Berichterstellung sind möglicherweise fehlerhaft, inkonsistent oder unvollständig. Das kann die Qualität der datenbasierten Erkenntnisse beeinträchtigen und zu Compliance-Problemen führen.

Kosten

Mitarbeiter setzen oft auf Schatten-IT, um die Kosten zu senken. Langfristig dagegen ist die Nutzung solcher Services sowie deren Skalierung im gesamten Unternehmen möglicherweise überhaupt nicht kostengünstig. Ein für die Privatnutzung gedachter Cloud-Speicherservice, der für ein Unternehmenskonto skaliert wird, ist beispielsweise weitaus kostenintensiver als unternehmensspezifische Services.

Schatten-IT ist auch mit indirekten Kosten verbunden, zum Beispiel in Form von Bußgeldern und Strafen bei Compliance-Verstößen, Rufschäden nach einer Kompromittierung oder wenn zeitnaher und intensiver IT-Support benötigt wird, weil der Service migriert oder deprovisioniert werden muss.

Risikomanagement bei Schatten-IT

Die Verantwortung für die Reduzierung von Schatten-IT liegt nicht bei den Mitarbeitern, sondern beim Unternehmen. Diese müssen versuchen, die Bedürfnisse ihrer Mitarbeiter zu verstehen und zu erfüllen – und zudem einen schnellen und reibungslosen Genehmigungs- und Provisionierungsprozess ermöglichen.

Selbst in sehr fortschrittlichen Unternehmen kann Schatten-IT nicht gänzlich ausgeschlossen werden. Unternehmen müssen daher Möglichkeiten finden, wie sie solche Fälle effektiv identifizieren und das Risiko reduzieren können. Die folgenden Schritte reduzieren die Nutzung von Schatten-IT und schränken die damit verbundenen Risiken ein:

  1. Verstehen der Anforderungen von Abteilungen und Teams durch umfassende und regelmäßige Audits im gesamten Unternehmen
  2. Nutzung moderner Technologien, die das Netzwerk kontinuierlich überwachen und die Transparenz und Kontrolle für alle Geräte, Anwendungen und Systeme gewährleisten
  3. Kommunikation, Zusammenarbeit und Schulung aller Mitarbeiter, um sicherzustellen, dass die Verfahren zur sicheren Nutzung aller Tools und Technologien sowie die Abläufe zur Provisionierung neuer Services bekannt sind
  4. Definition und Durchsetzung von Sicherheitsmaßnahmen, Richtlinien und Compliance-Vorgaben
  5. Schaffung eines Frameworks zur Risikobewertung und Priorisierung von Behebungsmaßnahmen

Behebung der Risiken von Schatten-IT mit CrowdStrike Falcon Horizon

CrowdStrike Falcon Horizon™ ist ein Tool zur Sicherheitsverwaltung für Cloud-Umgebungen (Cloud Security Posture Management, CSPM), das Konfigurationsfehler und Bedrohungen auf Kontrollebene erkennt und verhindert, Schwachstellen behebt und Compliance gewährleistet – für alle Cloud-Plattformen, einschließlich AWS, Azure und Google Cloud.

Falcon Horizon bietet mit einer zentralen Informationsquelle zu allen Cloud-Ressourcen umfassende Transparenz für Ihre gesamte Multi-Cloud-Umgebung.

Falcon Horizon bietet:

  • Permanente intelligente Überwachung von Cloud-Ressourcen, damit Sie Schatten-IT identifizieren und Konfigurationsfehler sowie Bedrohungen proaktiv erkennen können
  • Sichere, schnellere und effizientere Anwendungsbereitstellung in der Cloud
  • Einheitliche Übersicht und Kontrolle für die gesamte Multi-Cloud-Umgebung
  • Geführte Behebungsmaßnahmen zum Schließen von Sicherheitslücken
  • Leitlinien für Entwickler, mit denen sich kostspielige Fehler vermeiden lassen
  • Gezielte Bedrohungserkennung, um Informationsüberlastung zu verringern
  • Nahtlose Integration in SIEM-Lösungen (Sicherheitsinformations- und Ereignismanagement)

Laden Sie unser Datenblatt herunter oder vereinbaren Sie eine Demo, um mehr darüber zu erfahren, wie Falcon Horizon zur Reduzierung der Risiken von Schatten-IT beitragen kann.