Shadow IT: Ein Blick hinter die Kulissen des Phänomens

In der immer komplexer werdenden Welt der IT haben Unternehmen es zunehmend schwer, den Überblick über die verwendeten Anwendungen zu behalten. Viele Mitarbeitenden greifen im Rahmen ihrer Tätigkeiten mit besten Absichten auf Cloud Apps zurück. Die meisten dieser Apps wurden offiziell nicht von einer zentralen IT-Abteilung genehmigt. Das Problem: Anwendungen, die zuvor nicht überprüft wurden, sind möglicherweise nicht mit den Sicherheits- und Compliance-Richtlinien eines Unternehmens kompatibel. Im Durchschnitt gehen IT-Abteilungen davon aus, dass ihre Mitarbeiter beim Arbeiten auf 30 bis 40 Anwendungen zurückgreifen. Tatsächlich sind es sehr viel mehr: Durchschnittlich werden in einem Unternehmen mehr als 1.000 verschiedene Cloud Apps verwendet. Je mehr unbekannte Anwendungen im Netzwerk vorhanden sind, desto größer ist auch das Risiko, das durch diese sogenannte Shadow IT verursacht wird. Im Folgenden erfahren Sie, was genau Shadow IT ausmacht, welche Vor- und Nachteile das Phänomen mit sich bringt und wie man sich schützen kann.

Unter Shadow IT, auch bekannt als Schatten-IT, versteht man Systeme, Cloud Apps und Anwendungen, die ohne Wissen oder Zustimmung einer zentralen IT-Sicherheitsabteilung von den Mitarbeitenden eines Unternehmens genutzt werden. In der heutigen Zeit, in der das Angebot an kostenlosen Anwendungen immer weiter zunimmt, ist das bei weitem keine Seltenheit. Der Grund: Moderne Cloud-Lösungen lassen sich sehr viel einfacher verbreiten, untereinander teilen und weitergeben als klassische Desktop-Lösungen. Dadurch haben Mitarbeitende sofortigen Zugriff auf die Anwendung, ohne zuvor die Schritte durchlaufen zu müssen, die im jeweiligen Unternehmen für deren Genehmigung notwendig sind. Ein weiterer Grund für das Aufkommen von Schatten-IT ist, dass es den meisten Unternehmen an Ressourcen im Bereich der internen IT mangelt, um sich mit konformen Apps auseinanderzusetzen. Entsprechend erachten Mitarbeitende, die auf der Suche nach schnellen Lösungen für ihre Bedürfnisse sind, es als notwendig, die Sache selbst in die Hand zu nehmen, anstatt darauf zu warten, dass intern eine Lösung für ihr Problem entwickelt wird.

Natürlich bringt das Phänomen der Schatten-IT einige Vorteile mit sich – im Allgemeinen hat der Begriff jedoch eher eine negative Konnotation, denn in den meisten Unternehmen sorgt Schatten-IT für erhebliche Sicherheitslücken. Folglich kann sie in puncto Datenschutz und Datensicherheit ein recht hohes Risiko darstellen. Hinzu kommt, dass sie einen negativen Einfluss auf die Nutzererfahrung der anderen Mitarbeitenden haben kann – so zum Beispiel, wenn die Netzwerkbandbreite eingeschränkt wird, weil mehr Daten via Cloud verkehren. Zu einem Compliance-Problem wird Schatten-IT dann, wenn Mitarbeiter kostenlose Speicherdienste wie Dropbox oder pCloud nutzen, um Unternehmensdaten zu speichern. Weitere Details zum Begriff Shadow IT finden Sie hier.

Wie in vielen Phänomenen liegen auch in der Schatten-IT einige Chancen. Denn Mitarbeitende, die selbstständig Anwendungen auswählen und implementieren, gelten gemeinhin als motiviert, die eigene Produktivität zu steigern. Oft kann Schatten-IT auf diese Art und Weise innovative Arbeitsweisen in Unternehmen ermöglichen, die die Anforderungen der einzelnen Fachbereiche exakt abdecken. Auch kann sie die zentrale IT-Sicherheitsabteilung dazu ermuntern, Implementationsprozesse zu verkürzen, was sich wiederum positiv auf das Management und die Produktivität der Mitarbeitenden auswirkt. Es ist auch anzumerken, dass nicht automatisch von jeder Cloud App, die nicht offiziell genehmigt wurde, eine Gefahr ausgeht. Tatsächlich sind viele Schatten-IT-Anwendungen sicher, nützlich und ungefährlich. Bis zu einem gewissen Grad ist Schatten-IT daher auch dazu in der Lage, IT-Sicherheitsabteilungen zu entlasten. Und: Sie deckt die Schwächen der aktuellen IT-Lösungen zuverlässig auf.

Daneben birgt das Phänomen der Schatten-IT jedoch auch einige Risiken und Gefahren. Viele Unternehmen werden in der Folge Opfer von Hacking, Cyberkriminalität und Datendiebstahl – ein Problem, das den unternehmerischen Ruf nachhaltig schädigen kann. Dadurch, dass das Unternehmen die Kontrolle über die Firmendaten verliert, entstehen große Datenlecks und erhebliche Sicherheitslücken, die die Vorteile der Schatten-IT zunichte machen können, wenn sie nicht richtig gehandhabt werden. Zusätzlich besteht durch nicht überprüfte Anwendungen die Gefahr, gegen die DSGVO zu verstoßen. Für Unternehmen drohen in diesem Fall hohe Bussen. Unternehmen tun daher gut daran, sich rechtzeitig mit der Schatten-IT in der eigenen Organisation auseinanderzusetzen, um den Datenschutz und die Datensicherheit weiterhin zu gewährleisten.

Unternehmen, die eine Lösung für ihre Schatten-IT integrieren, gewinnen an Kontrolle und Transparenz für ihr Netzwerk. Mit den richtigen Tools lässt sich die eigene Cybersicherheit dauerhaft und zuverlässig verbessern. Um zu ermitteln, welche Cloud Apps verwendet werden und welche Risiken diese Anwendungen bergen, eignet sich zum Beispiel Microsoft Defender for Cloud Apps sehr gut. Hierbei handelt es sich um einen Cloud Access Security Broker (CASB), der maximale Transparenz, eine zentralisierte Verwaltung, umfassende Kontrolle über den Datenverkehr, eine einfache Bereitstellung und innovative Analysefunktionen in sich vereint. So lassen sich Cyberbedrohungen für sämtliche Cloud Apps gezielt und effizient bekämpfen. Alles in allem hilft Microsoft Defender dabei, zu gewährleisten, dass die Sicherheits- und Compliance-Richtlinien des Unternehmens eingehalten werden. Zu diesem Zweck bringt er eine Schutzvorrichtung für die Verwendung von Cloud Apps im Unternehmensumfeld ein. Microsoft Defender for Cloud Apps erkennt Schatten-IT zuverlässig. Zusätzlich überwacht er Benutzeraktivitäten auf anormales Verhalten und bewertet die Konformität von Cloud Apps. Microsoft Defender ist problemlos in andere Microsoft-Lösungen integrierbar. Ein Tutorial dazu, wie Sie Schatten-IT in Ihrem Netzwerk mit Hilfe von Microsoft Defender for Cloud Apps erkennen und verwalten, steht Ihnen auf der Webseite von Microsoft zur Verfügung.

Eine weitere Möglichkeit, Shadow IT in den Griff zu bekommen, besteht in der Verwendung von Next Generation Firewalls (NGFWs). Im Gegensatz zu herkömmlichen Firewalls, die lediglich Ports, IP-Adressen und Protokolle identifizieren können, gewährleisten Next Generation Firewalls einen sehr viel robusteren Schutz, denn sie zeigen auf, wie Mitarbeitende Anwendungen in Echtzeit verwenden. Dadurch können sich Unternehmen sehr viel besser gegen Cyberbedrohungen absichern. Ergänzend kann es lohnenswert sein, Analysetools wie den FortiAnalyzer einzusetzen, die Unternehmen einen konkreten Einblick in sicherheitsrelevante Aktivitäten in ihrem Netzwerk geben. Konkret gesagt: Sollte ein Mitarbeiter eine nicht genehmigte Anwendung herunterladen und verwenden, können diese Tools die Aktivität erkennen und melden. Zusätzlich erleichtern Analysetools die Einschätzung, ob eine Cloud App gefährlich ist oder nicht. Auf der Webseite von Fortinet erfahren Sie auf Wunsch mehr zum Thema.

Die meisten Mitarbeitenden, die bei der Arbeit auf Schatten-IT zurückgreifen, handeln mit besten Absichten. Sie würden also nicht bewusst kritische Software installieren und nutzen, um ihrem Unternehmen Schaden zuzufügen, sondern sind lediglich auf der Suche nach einem Tool, das ihren Anforderungen gerecht wird. Auf der anderen Seite stellt Schatten-IT Unternehmen, die sich des Problems nicht bewusst sind, vor große Herausforderungen, denn unbemerkte IT-Aktivitäten können Unternehmensprozesse immens belasten. Damit die IT-Performance nicht dauerhaft leidet, ist es sinnvoll, eine ganzheitliche Strategie zu integrieren, die Schatten-IT auf den Grund geht und sie in den Griff bekommt.

Wir, das Team der fernao somnitec AG, helfen Ihnen gerne dabei, Ihrem Problem im Bereich der Shadow IT zu begegnen. Auf Grundlage eines fundierten Ansatzes in Kombination mit geeigneten Tools unterstützen wir Sie dabei, die Kontrolle über Ihre IT-Umgebung zu behalten. Dabei liegt unser Fokus hauptsächlich auf einer ausführlichen Beratung und professionellen Umsetzung bewährter Lösungen, mit deren Hilfe es Ihnen gelingt, Ihr Unternehmen für die digitale Welt von morgen fit zu machen. Nehmen Sie Kontakt auf – gemeinsam mit uns wird es Ihnen mit Sicherheit gelingen, die „Schatten“ in Ihrem Netzwerk endgültig loszuwerden!