Gefesselt an Homeoffices, ausgestattet mit schlecht gesicherter Hardware, laden sich Mitarbeiter in Zeiten von Covid-19 bei Bedarf bedenkenlos Apps runter oder nutzen nicht freigegebene Software in der Cloud: ein gefährliches Einfallstor für Hacker und Wirtschaftskriminelle.
Ein CASB ist die Basis für das automatisierte Erkennen gefährlicher Schatten-IT und behält den gesamten Cloud-Verkehr im Unternehmen im Blick.
Der Erfolg der Videokonferenz-Lösung „Zoom“ lockte mit ihrem Boom aufgrund des Corona-Virus innerhalb kürzester Zeit die digitale Unterwelt an. Mehr als 3.000 Domain-Namen enthielten auf einmal das Wort „Zoom“, hatten aber nichts mit dem Videokonferenzsystem zu tun. Nicht alle Domains sind gefährlich, sondern surfen nur auf der Popularitätswelle von Zoom. Aber eine ganze Reihe Webseiten dienen nur dem Zweck, persönliche Daten abzugreifen oder verseuchte Programme zu installieren.
IT-Abteilungen in den Unternehmen haben seit Beginn der Pandemie einen besonderen Blick auf den Homeoffice-Hype. Sie mussten nicht nur in Windeseile ihre KollegInnen mit Hardware ausstatten und an das Unternehmensnetz anschließen, sondern ihre Unternehmen auch noch gegen neue Risiken absichern. Denn über unbedarft genutzte Apps und Software in der Cloud schleppen MitarbeiterInnen Schadprogramme in die Unternehmens-IT ein, mit denen Hacker geschäftskritische Daten abziehen.
Schatten-IT ist aber nicht erst seit Covid-19 ein Problem. McAfee hat 2019 bei einer weltweiten Befragung von IT-Leitern herausgefunden, dass 53 Prozent der IT-Leiter davon ausgehen, dass mehr als die Hälfte der MitarbeiterInnen in ihren Unternehmen Anwendungen nutzt, von denen die IT-Abteilung nichts weiß. Wer Anwendungen ohne Wissen der IT nutzt, macht dies in der Regel nicht, um seinem Arbeitgeber zu schaden. Es hat meist praktische Gründe.
Ein anscheinend harmloses Beispiel: Der Austausch von Dokumenten mit Team-KollegInnen in den verstreuten Homeoffices. Für die Umwandlung einer Word-Datei in ein Pdf fehlt die passende Software. Dafür bietet die Cloud eine ganze Reihe von kostenlosen Diensten an. Was kaum jemand weiß: Manche Cloud -Anbieter ziehen als „Gegenleistung“ für den kostenlosen Service unbemerkt die sensiblen Inhalte ab, was bei Finanzdaten, personenbezogenen Daten oder strategischen Konzepten Folgen haben kann. Oder sie verstecken Schad-Software in der umgewandelten Datei, die nach Versand und Öffnen der Datei weitere Rechner infiziert und schlimmstenfalls in die IT des Unternehmens eindringt.
App-Einsatz wird kaum hinterfragt
Was tun gegen die Schatten-IT? Verbote, von der IT nicht freigegebene Apps zu nutzen, führen meist nicht zum Ziel. Stattdessen gibt es Sicherheits-Software, die Schatten-IT nicht ganz verhindert, aber IT-Abteilungen und Nutzer davor warnt, wenn sie ein gefährliches Tool aus der Cloud runterladen oder online nutzen wollen. „Da wir als Privatmenschen gewohnt sind, Apps nach Belieben von Plattformen runterzuladen, machen sich viele Mitarbeiter keine weiteren Gedanken, wenn sie auch für ihren Job Apps oder Services in oder aus der Cloud nutzen“, sagt Paul Schöber von der Deutschen Telekom Security, wie ein Security-Audit der Sicherheitsexperten bei einer Großbank bestätige. Eine Woche lang wurden Logdateien von rund 18.000 Beschäftigten analysiert. Das Ergebnis: Sie nutzten rund 1.300 Cloud-Dienste mit denen ein Datenaustausch stattgefunden hat und innerhalb einer Woche entstanden rund 100 neue Einfallstore für Cyberkriminelle. Die genutzten Daten wurden an mehrere hundert Destinationen in der ganzen Welt verarbeitet und gespeichert. „Darunter waren auch wenig vertrauenswürdige Regionen auf allen Kontinenten verteilt“, weiß Schöber.
Typische Fehlkonfigurationen von IaaS-Nutzern bei AWS, die Cloud-native Breaches ermöglichen:
Analyse und Kontrolle der Nutzung von Cloud-Services durch detaillierte Bewertung der Cloud-Apps
Definition von Maßnahmen je nach Risikoklasse von Informationen, über Angebot einer Alternative bis hin zu automatisierten Blockieren von Cloud-Diensten
Analyse von ungewöhnlichen oder riskanten Dateibewegungen, Down- und Upload-Werten oder Nutzerverhalten
Risiko-Awareness statt Verbote
Der Cloud-Sicherheits-Experte der Deutsche Telekom Security weiß, dass allein Verbote das Problem der Schatten-IT nicht beseitigen können. Zumal die Unternehmen selbst es in punkto Sicherheit von Cloud-Diensten anscheinend eher nachlässig angehen. So sollen mehr als 50 Prozent der Unternehmen Cloud-Services nutzen, die in der Vergangenheit schon einmal kompromittiert wurden. Dies zeigt noch deutlicher, dass Verbote allein nicht zum Ziel führen würden, zumal eine umfassende Einschätzung und Bewertung der Cloud-Dienste durch die Mitarbeiter nicht möglich ist. „Es gibt zwei wichtige Maßnahmen, mit denen Unternehmen einen deutlichen Schritt zu mehr Sicherheit machen können: Erstens die Mitarbeiter überhaupt auf die Risiken aufmerksam machen, also erklären und Awareness schaffen. Das hilft mehr als das reine Verbieten.“
Echtzeit-Analyse des Cloud-Verkehrs
Und zweitens helfe ein Cloud Access Security Broker (CASB). Dieses Security-Tool schaffe die technische Basis für das automatisierte Erkennen gefährlicher Schatten-IT. „Ein CASB analysiert den Cloud-Verkehr in Echtzeit, erkennt Risiken und blockiert unter anderem Downloads oder sperrt Zugänge automatisiert bis das Problem gelöst ist.“ Das passiert pseudonymisiert, da es nicht darum geht, die unbewussten „Täter“ zu stellen, sondern zu sensibilisieren. Erst wenn sich herausstellt, dass offensichtlich Wiederholungstäter mit krimineller Energie am Werk sind, sollten die IT-Verantwortlichen gezielt und individuell dagegen vorgehen. Entscheidend sei neben dem Tool daher, zunächst detaillierte Governance- und Cloud-Service-Regeln für die Nutzung zu definieren. „Selbst populäre und anscheinend risikofreie Cloud-Anwendungen wie Microsoft 365 oder Salesforce werden dann zum Problem, wenn Nutzer infizierte Dateien in die Cloud bringen oder geschäftskritische Daten ungewollt teilen“, warnt Schöber.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Cloud-Risiken managen
Verbessertes Verständnis der Betriebs- und Compliance-Risiken durch Cloud Computing sowie Etablierung eines Risikomanagement-Konzepts innerhalb der Organisation
Identifizierung von Schwachstellen auf Prozessebene und Etablierung eines Compliance-Managements, u.a. Cloud Incident Response und proaktives Cloud Threat Modelling
Auseinandersetzung mit Cloud-Architekturen und Kenntnis der Spezifika der verschiedenen Service-Modelle (IaaS, PaaS und SaaS)
Einsatz passender Tools und nativer Sicherheitslösungen der Cloud Service-Providern
Aufbau von Awareness bei Mitarbeitern, um die Risiken zu verdeutlichen und die Sensibiltät zu steigern
Abgreifen von Daten verhindern
Das Tool analysiert unter anderem Log-Dateien der Cloud-Nutzer sowie die jeweiligen Verhaltensmuster. So erkennt der Security Broker ungewöhnliche Up- und Downloads, wie zum Beispiel außergewöhnlich große Dateien oder auch ungewöhnliche Dokumententypen. Entdeckt das Tool eine schadhafte Datei, dann kann es das Virus unschädlich machen. „Mindestens genauso wichtig wie der Schutz gegen Schad-Software ist es, das Abgreifen von geschäftskritischen Daten zu verhindern“, sagt Schöber. Gerade bei gezielten Hackerangriffen steckt oftmals Wirtschaftskriminalität dahinter. So steigt laut der McAfee-Studie „Iaas Adoption and Risk 2019“ die Anzahl von Datendiebstählen in Cloud-Umgebungen um jährlich rund 250 Prozent. Wettbewerber und leider auch andere Staaten heuern dafür Hacker an und versuchen sich durch das Abgreifen wertvoller Daten einen Vorteil zu verschaffen.“
CASB-Kompetenz kaum vorhanden
Der CASB ist also die Basis für das automatisierte Erkennen gefährlicher Schatten-IT und behält den gesamten Cloud-Verkehr im Unternehmen im Blick. Ein solches Tool setzen aber laut einer Security-Studie von IDG aus dem Jahr 2019 bisher erst ein knappes Viertel der befragten Unternehmen ein. Und die Cloud Security Alliance (CSA), die als global agierende Organisation unter anderem Sicherheitslücken in Cloud-Umgebungen identifiziert und Sicherheitsstandards bei Cloud-Diensten entwickelt, veröffentlichte Mitte August 2020 eine Studie zum Einsatz von CASB. Das Fazit: Es besteht eine große Lücke zwischen der Zahl der CASB-Implementierungen und der tatsächlichen CASB-Nutzung. Zwar haben 90 Prozent der Befragten einen CASB im Einsatz, jedoch die Hälfte davon nutzen die Möglichkeiten des Tools nicht, da es ihnen an Fachpersonal fehlt. Studienautor und CSA-Analyst Hillary Baron sieht fehlende Kompetenz der Unternehmen als ein Grund für den spärlichen Einsatz: „Die Studie macht deutlich, dass unbedingt mit Trainings der Umgang mit der Lösung aufgebaut werden muss, damit CASB als Tool und Service effektiv eingesetzt werden kann.”
Über den Autor: Paul Schöber ist Portfoliomanager Cloud Security bei T-Systems.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/5e/af/5eaffc9135b35/se-insider-logo-2019.png "SE_Insider-Logo_2019.png (Vogel IT-Medien)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/1b/e9/1be98348b7b3ad89ac3fca84bc34c5f8/92349156.jpeg "Fehlerhafte Konfigurationen bei Public-Cloud-Services können zu sogenannten Cloud-Native Breaches (CNB) führen und stellen ein massives Risiko für die unternehmensinterne Datensicherheit dar. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/71/1371ddd0591d1e058264b907fe8752da/0126586837v2.jpeg "Unter Schatten-IT versteht man die Nutzung von IT-Ressourcen ohne Wissen oder Zustimmung der IT-Abteilung eines Unternehmens oder einer Behörde. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ec/f9/ecf9f9160f6888ea06073cc11fd1b360/0122816118v2.jpeg "Die wachsende Komplexität der SaaS-Landschaft macht Unternehmen anfälliger für gezielte Phishing-Angriffe. (Bild: Philip Steury - stock.adobe.com)")