:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Risiken unüberwachter IT-Infrastrukturen Schatten auf der IT-Sicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die Corona-Pandemie hat den Arbeitsalltag und bestehende Prozesse grundsätzlich geändert. Das Homeoffice ist für die meisten Menschen mittlerweile zum festen Arbeitsplatz geworden. Die Gefahr, dass Mitarbeiter unbeabsichtigt Schatten-IT nutzen, wächst durch dezentralisierte Arbeitsplätze.
IT-Sicherheitsexperten sollten dieses Risiko auf gar keinen Fall unterschätzen. NinjaRMM hat deutschlandweit insgesamt 400 Beschäftigte unterschiedlicher Branchen zu diesem Thema befragt. Die Ergebnisse der Umfrage zeigen, dass die Mehrheit der Teilnehmer zwar die Sicherheitsbestimmungen ihrer Organisation kennen, sie aber entweder umgehen oder verletzen.
Das Personal nutzt verschiedene Geräte, wie beispielsweise Festplatten und Smartphones, sowie digitale Tools von Kommunikationslösungen bis hin zu Business-Anwendungen für private Zwecke. Auch wenn sie unschuldig erscheint, kann Schatten-IT zu Datenverletzungen, verzerrten IT-Budgets und Ineffizienzen führen, die dem Geschäft schaden. Die gute Nachricht: Regelmäßige Sicherheitsschulungen und klare Richtlinien können helfen, Schatten-IT zu bekämpfen.
Fernarbeit und ihre Effekte auf die Sicherheit
Aus den Umfrageergebnissen geht hervor, dass viele Mitarbeiter die Sicherheitsbestimmungen ihrer Organisation umgehen, weil sie zu komplex oder in der Praxis zu schwierig anzuwenden sind. Die drei Hauptgründe, die Mitarbeiter an Fern-Arbeitsplätzen in diesem Zusammenhang genannt haben, sind:
- Sicherheitsbestimmungen schränken Mitarbeiter in ihrer Produktivität ein.
- IT-Verantwortliche reagieren zu langsam auf gestellte Anfragen der Mitarbeiter.
- Persönliche Konten für die Verwaltung von Dokumenten sind einfacher in der Nutzung.
So haben 70 Prozent der Mitarbeiter an Fern-Arbeitsplätzen einen Zugang zu Sicherheitsschulungen, doch nur 66 Prozent erhielten in den letzten sechs Monaten eine Sicherheitsschulung. 42 Prozent der Befragten gaben an, dass sie die Sicherheitspolitik ihres Unternehmens umgehen müssten, damit sie ihre Arbeit erledigen können. Regelmäßig wiederkehrende Sicherheitsschulungen erhöhen die Erfolgschancen, Sicherheitslücken zu beseitigen. Hier gibt es eindeutig Nachholbedarf.
44 Prozent der Teilnehmer geben sogar eigenes Geld für Soft- und Hardware aus, die sie für ihre beruflichen Aufgaben nutzen. Das belegt, dass IT und Management keine Kenntnisse darüber haben, wie ihre Mitarbeiter arbeiten oder was sie benötigen, um erfolgreich und produktiv zu sein. 61 Prozent der Befragten investieren monatlich zwischen 11 und 50 Euro in digitale Werkzeuge. Zusätzlich ist die Zeit, die Mitarbeiter mit IT-Fragen verbringen, seit der Einführung des Homeoffice durch die Corona-Pandemie gestiegen. Insgesamt 64 Prozent der befragten Mitarbeiter an Fern-Arbeitsplätzen verbringen zwei oder mehr Stunden pro Woche mit IT-bezogenen Problemen.
Handlungsempfehlungen für das IT-Management
Um Schatten-IT nachhaltig zu bekämpfen und die damit einhergehenden Risiken zu senken, ist der Aufbau einer internen Sicherheitskultur essenziell. Einige grundlegende Themen sind dazu notwendig:
- 1. IT-Verantwortliche sollten digitale Tools und Hardware von Angestellten an Fern-Arbeitsplätzen regelmäßig kontrollieren. So können sie feststellen, ob sich die Arbeitsweisen mit der aktuellen Sicherheitspolitik decken.
- 2. Das Management sollte Konflikte zwischen IT und dem Personal an dezentralisierten Arbeitsplätzen vermeiden und Sicherheitsrichtlinien gegebenenfalls anpassen.
- 3. Regelmäßige Schulungen zu aktuellen Gefahren wie Malware und Phishing, denen Mitarbeiter an Fern-Arbeitsplätzen ausgesetzt sind, können Unternehmen nachhaltig schützen.
- 4. Klare Kommunikationswege zwischen Personal an Fern-Arbeitsplätzen und der IT fördern die Akzeptanz von Sicherheitsrichtlinien und steigern das Bewusstsein für IT-Gefahren.
- 5. Bedürfnisse und Erkenntnisse sollten als Feedback an die Führungsebene kommuniziert werden. So kann diese sich besser auf mögliche Bedrohungen vorbereiten.
Sicherheitsbestimmungen: klar und verständlich
Schutz vor Gefahren kann nur durch kompetente Mitarbeiter gewährleistet werden. Die Teams müssen daher über die IT-Sicherheitsbestimmungen des jeweiligen Unternehmens aufgeklärt werden und genau verstehen, warum es so wichtig ist, diese einzuhalten. Wenn neue Tools zur Anwendung kommen, sollten alle Anwender genau wissen, was zu tun ist und wie sie korrekt mit den neuen Lösungen umgehen.
83 Prozent der Befragten waren mit den IT-Sicherheitsrichtlinien ihres Unternehmens vertraut und 70 Prozent äußerten, dass ihr Unternehmen Sicherheitsschulungen zur Verfügung stellt. Doch nur weil Arbeitgeber ihren Arbeitnehmern Sicherheitsschulungen zur Verfügung stellen, bedeutet das noch längst nicht, dass sie auch tatsächlich genutzt werden. 34 Prozent der Befragten haben in den letzten sechs Monaten keine Schulung erhalten, aber das Nutzungsverhalten und neue Bedrohungen haben sich schnell geändert, um die Vorteile von Remote-Mitarbeitern zu nutzen. Angesichts des potenziellen Risikos, das durch Schatten-IT entsteht, sind regelmäßige Sicherheitsschulungen ein Bereich, in den IT-Teams mehr Zeit und Ressourcen investieren sollten.
Damit sich inoffizielle IT-Infrastrukturen erst gar nicht etablieren können, sollten Mitarbeiter an Fern-Arbeitsplätzen die Sicherheitsrichtlinien kennen und vor allem korrekt anwenden. Welche digitalen Tools, Cloud-Dienste und Anwendungen sie nutzen dürfen, sollte klar vorgegeben sein. Laut der Umfrage würde nur einer von drei Befragten niemals die IT-Sicherheitsrichtlinien seines Unternehmens umgehen, wobei die Kritiker angaben, die Richtlinien seien zu restriktiv oder sie seien ihnen nicht bekannt. Dies zeigt, dass IT-Teams und Unternehmensleiter mehr tun müssen, um die Richtlinien klar und verständlich zu machen. Das Ignorieren dieser Pannen ist ein verheerender Fehler, der im schlimmsten Fall nicht nur viel Geld kosten, sondern auch einen Imageschaden verursachen kann.
Mehr Tools, mehr nicht überwachte IT-Infrastrukturen
Durch die Verlagerung der Arbeitsplätze ins Homeoffice nutzen 41 Prozent der Befragten mehr Geräte als vorher. 48 Prozent greifen dabei zunehmend auf Cloud- oder Software-Dienste zurück. Dadurch, dass mehr Apps angewendet werden, wird die Cybersicherheit zusätzlich gefährdet. Aufgrund intransparenter Strukturen wissen IT-Verantwortliche nicht, welche Hilfsmittel von den dezentralisierten Teams verwendet werden. Dementsprechend können sie keine Sicherheit durch Updates und Patches garantieren. Solches Verhalten ist ein Türöffner für Cyberkriminelle und Hacker.
Auf welche inoffiziellen Hilfsmittel Beteiligte zurückgreifen, unterscheidet sich deutlich. Im Bereich Hardware nutzen 67 Prozent Smartphones, 58 Prozent externe Festplatten oder SSDs und 63 Prozent USB-Flash-Laufwerke. 52 Prozent der Befragten nutzen Video- und Audio-Software und 33 Prozent brauchen Entwicklungs- und Business-Software. 46 Prozent der Teilnehmer nutzen Kommunikationssoftware, um ihre Arbeit zu erledigen.
Einige Mitarbeiter (17 %) installieren Spiele auf ihren Arbeitsgeräten zur persönlichen Unterhaltung. Anwendungen für den Privatgebrauch erfüllen nicht die gleichen Sicherheitskriterien wie Unternehmens-Apps. IT-Manager sollten das Risiko nicht genehmigter Software als potenzielle Quelle für Datenlecks und Missbrauch nicht unterschätzen. Daher sollten, wenn möglich, inoffizielle Anwendungen jeglicher Art vermieden werden.
Ressourcenverschwender Homeoffice?
Budgets und die damit einhergehende Kontrolle gehört für viele IT-Spezialisten zu ihrem Aufgabenfeld. Die größte Herausforderung dabei stellt die Balance zwischen den Bedürfnissen der Mitarbeiter im Homeoffice und den Unternehmensinteressen dar. Schatten-IT begünstigt diese Problematik zusätzlich. Dadurch, dass IT-Abteilungen nicht genau wissen, welche Hilfsmittel Mitarbeiter im Homeoffice gebrauchen, kommt es in der Praxis dazu, dass die Führungsebene Budget und andere Ressourcen in falsche Tools investiert.
44 Prozent der Befragten geben eigenes Geld für Hard- und Software oder Cloud-Dienste aus, die sie für ihre Arbeit brauchen. Jeder Dritte davon investiert zwischen 11 und 25 Euro pro Monat für physische oder digitale Hilfsmittel. Damit überhaupt ein Bedarf festgestellt werden kann, ist es überaus wichtig, dass solche Erkenntnisse mit IT-Verantwortlichen geteilt werden, damit sie langfristig Veränderungen herbeiführen können.
Seit Beginn der Corona-Pandemie und mit der Einführung von Homeoffice wendet fast jeder zweite Befragte mehr Zeit für IT-Fragen auf. Konkret brauchen 64 Prozent der Teilnehmer zwei oder mehr Stunden wöchentlich, um IT-Probleme zu lösen. Hier ist die Gefahr groß, dass Mitarbeiter ihre intrinsische Motivation verlieren, weil sie sich mit Aufgaben befassen müssen, die eigentlich nicht in ihrer Verantwortung liegen.
Große Unterschiede zwischen realer Bedrohung und der Wahrnehmung
Die Gefahren, die von Schatten-IT und unüberwachten IT-Infrastrukturen ausgehen, stellen eine erhebliche Bedrohung für Unternehmen dar und Verantwortliche sollten diese ernst nehmen. Durch die aktuelle Situation, die Verbreitung von Homeoffice-Strukturen und die Dezentralisierung der Arbeitsplätze, ist die Angriffsfläche für Hacker enorm gewachsen.
Datenlecks, Informationsdiebstahl und nicht regelmäßig gepatchte Anwendungen an fernverwalteten Endpunkten sind reale Gefahren, die kontrolliert werden müssen. Es ist erschreckend, dass 15 Prozent der Befragten kein Risiko in der Nutzung inoffizieller Tools erkennt. Dieses Ergebnis lässt darauf schließen, dass IT-Sicherheitsexperten mehr tun müssen, um das Personal über Bedrohungen im IT-Umfeld aufzuklären.
Durch die dezentrale Arbeitswelt entstehen immer wieder neue Anforderungen an Sicherheitsrichtlinien. Ziel ist es, Gefahren zu erkennen und so weit wie möglich zu minimieren. Die Ergebnisse zeigen, dass die Schatten-IT unterschätzt wird und eine Top-Priorität für Führungsteams sein sollte. IT und Management wissen nicht immer, welche Ressourcen genutzt werden und welche Tools die Mitarbeiter wirklich benötigen. Diese Unkenntnis setzt Unternehmen einem Risiko aus und zeigt, dass IT-Teams und Führungskräfte nicht willens oder in der Lage sind, Bedrohungen zu managen.
* Der Autor Lewis Huyn ist als Chief Security Officer bei NinjaRMM für das strategische Risikomanagement im Unternehmen verantwortlich. Als Infrastructure Architect kümmert er sich ebenso um die Themen Informationssicherheit und Privacy. NinjaRMM bietet cloud-basierte Fernwartungs- und -Verwaltungssoftware für Managed Service Provider, Systemhäuser und interne IT-Abteilungen.
(ID:47407075)
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940988/original.jpg "Um rechtlich gegen einen Mitarbeiter vorgehen zu können, bei dem bei Verdacht auf Lohnfortzahlungsbetrug besteht, brauchen Unternehmer gerichtsfeste Beweise. (Prostock-studio - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923700/1923719/original.jpg "Hacker scheinen nicht die größte Gefahr für Unternehmensdaten zu sein. (Pixabay)")