Die Crux der Passwortsicherheit Schatten-IT schafft Risse in der Unternehmensrüstung

Anbieter zum Thema

FTAPI Software GmbH

Specops Software GmbH

Wäre die IT ein Superheld, wäre die Schatten-IT ihr unterschätzter Erzfeind. Denn auf den ersten Blick scheinen Konten, Apps und Cloud-Dienste, die Mitarbeitende ohne die Genehmigung oder das Wissen des Unternehmens nutzen, harmlos. Doch umso bedrohlicher ist der Schaden, den sie anrichten können.

Mitarbeitende erstellen oftmals Konten mit ihren beruflichen E-Mail-Adressen oder verwenden Tools von Drittanbietern mit dem Ziel, die Produktivität zu steigern, ohne eine vorherige Prüfung durch die IT-Abteilungen oder anderen hierfür Zuständigen. Das ist zwar gut für den Innovationsgeist, aber es gibt auch eine Kehrseite. Denn die sogenannte Schatten-IT kann zu gefährlichen Sicherheitslücken führen. Schlimmer noch: Die IT-Abteilungen sind sich dieser Schwachstellen in der Unternehmensrüstung oftmals nicht bewusst.

Die Crux der Passwortsicherheit

Schatten-IT ist jedoch kein kleines, vereinzeltes Problem. In einer von 1Password durchgeführten Umfrage unter mehr als 2.000 US-Amerikanern gaben 62 Prozent der Befragten an, mindestens ein Konto erstellt zu haben, ohne die IT-Befugten darüber zu informieren. Ein weiteres Drittel räumte ein, einprägsame Passwörter für neue Konten wiederzuverwenden. 48 Prozent verwenden ein Muster ähnlicher Passwörter. Und 37 Prozent der Befragten haben sogar schon mal Passwörter mit einem Kollegen oder einer Kollegin per E-Mail, Instant Messenger, mündlich oder auf eine andere unsichere Weise ausgetauscht. Lediglich 2,6 Prozent derjenigen, die Schatten-IT-Konten haben, nutzen jedes Mal ein starkes, einzigartiges Kennwort. Es verwundert daher nicht, dass die Praxis der Wiederverwendung und Weitergabe von Passwörtern für Unternehmen zu einem Alptraum werden kann.

Risikofaktor ehemalige KollegInnen

Auch wenn Mitarbeitende kündigen oder entlassen werden, kann Schatten-IT zu Problemen führen. So gaben knapp 21 Prozent der Befragten an, dass ihnen der Zugriff zu einem Arbeitskonto verwehrt wurde, nachdem ein Kollege oder eine Kollegin das Unternehmen verlassen hat. Doch das ist nicht das einzige Risiko: Sind Mitarbeitende, die zuvor die immer gleichen einprägsamen Passwörter genutzt haben, nicht länger im Unternehmen beschäftigt, haben sie dennoch weiterhin Zugriff auf Konten, die sie unter dem Radar der IT-Abteilung erstellt haben. Im schlimmsten Fall könnten diese Unternehmensdaten an die Konkurrenz weitergegeben werden; im besten Fall bleiben sie inaktiv und verborgen, stellen bei Missbrauch des Dienstes aber dennoch ein Risiko für das Unternehmen dar.

So gewinnen Unternehmen den Kampf gegen Schatten-IT

Die Frage lautet: Wie lässt sich dieses Problem beheben? Schließlich kann ein vollständiges Verbot neuer Programme oder des Anlegens neuer Konten sowohl Produktivität als auch Kreativität beeinträchtigen. Dies führt zu Engpässen und mehr Arbeit für alle, da alles erst von entsprechender Seite genehmigt werden muss. Gleichzeitig müssen sich die Mitarbeitenden aber auch über die Auswirkungen ihres Verhaltens und die damit verbundenen Risiken im Klaren sein, um sich künftig mit ruhigem Gewissen und ohne Einschränkungen mit neuen Programmen auseinandersetzen und dafür eigene Konten anlegen zu können.

Unternehmen und IT-Abteilungen können folgende Maßnahmen ergreifen, um den Überblick zu behalten und Mitarbeitende zu sinnvollen Sicherheitsmaßnahmen zu ermutigen:

1. Schulung

In den seltensten Fällen erstellen Mitarbeitende Schatten-IT-Accounts aus Böswilligkeit. Vielmehr haben sie häufig positive Absichten: Sie wollen ihre Produktivität steigern, Innovationen fördern oder sich anderweitig in ihrem Job verbessern. Damit Mitarbeitende sich der tatsächlichen Bedrohung für die Unternehmens-IT bewusst werden, die von diesen „harmlosen“ Konten oder der unbedachten Weitergabe von Passwörtern an Dritte ausgehen, sollten IT-Abteilungen – sofern vorhanden – beziehungsweise Unternehmen regelmäßig über Schatten-IT aufklären. Zeigen Sie den Mitarbeitenden eindrücklich, wie wichtig ein guter Umgang mit Passwörtern und Sicherheit allgemein ist, damit sie verstehen, dass es sich nicht nur um willkürliche Vorgaben handelt. Dieses Verständnis wird maßgeblich dazu beitragen, die Einhaltung der Sicherheitsrichtlinien zu fördern.

2. Verwenden Sie einen Passwortmanager

Starke und einzigartige Passwörter für jedes Konto zu erstellen ist entscheidend für die Sicherheit eines jeden Unternehmens. Sich diese Passwörter jedoch zu merken, ist unmöglich – das zeigen auch die bereits zuvor erwähnten Studienergebnisse. Unternehmen, die einen Passwortmanager zur Verfügung stellen, helfen ihren Mitarbeitenden damit nicht nur beim Erstellen und Verwalten von Logins und Passwörtern, sondern sie verbessern vor allem die Sicherheit. Von Angreifern erbeutete Zugangsdaten (von privaten oder alten Konten) sind nämlich wertlos, da Passwortmanager einzigartige Passwörter für jedes Konto generieren Etablieren Sie deshalb einen unternehmensweiten Passwortmanager und ermutigen Sie die Mitarbeitenden zu einer sicheren gemeinsamen Nutzung sowie zu einem guten Passwortverhalten. Zeigen Sie ihnen bei der Schulung und Einarbeitung, wie sie diesen verwenden und erlauben Sie gegebenenfalls direkt auch, dasselbe Tool für private Konten zu nutzen – so stellen einige Enterprise-Passwortmanager kostenlose Konten für die private Nutzung zur Verfügung. So geht der sichere Umgang mit Passwörtern in den Alltag der Mitarbeitenden über und stellt keine zusätzliche Hürde mehr dar.

3. Zugang gewähren

Machen Arbeitgebende es ihren Mitarbeitenden einfach, den Zugang zu benötigter Software zu beantragen, ist die Wahrscheinlichkeit geringer, dass diese Konten ohne das Wissen ihrer IT-Abteilung oder anderer Befugter erstellen. Schaffen Sie ein Verfahren für die Beantragung von Zugriff auf Anwendungen, Speichernutzung, Abonnements, in der Cloud gehostete Dokumente und alles andere, was Ihre Mitarbeitenden für ihre Arbeit benötigen. Dabei kann es sich schon um eine simple E-Mail an die IT oder Vorgesetzte handeln mit der Bitte, dass das Unternehmen ein bestimmtes Medium abonniert. Unabhängig davon, wie Sie vorgehen: Die Kosten für Abonnements und Software für das gesamte Unternehmen sind wesentlich geringer als die einer Datenwiederherstellung nach einer Panne oder der Reputationsverlust bei einem Datenleck. Die Anwendung des Verfahrens ist aber auch bei kostenlos nutzbaren Diensten entscheidend: Machen Sie bei allen Schulungen und Einführungen neuer Prozesse deutlich, dass auch diese anfällig für Datenschutzverletzungen sind. Schaffen Sie deshalb eine Kultur offener Kommunikation mit den jeweiligen AnsprechpartnerInnen. Dies verhilft Unternehmen zu mehr Transparenz, besserer Kontrolle über die Konten und schützt sie so vor unvorhergesehenen Angriffen.

An einem Strang ziehen

Schatten-IT ist eine erhebliche Bedrohung für Großunternehmen und KMUs gleichermaßen. Dabei ist sie überraschend einfach zu neutralisieren. Die größte Hürde besteht darin, den Mitarbeitenden zu verdeutlichen, wie viel Einfluss ihr Handeln auf die allgemeine Sicherheit des Unternehmens hat. Sichtbarkeit ist der Schlüssel zur Bekämpfung von Schatten-IT. Der allererste Schritt ist es jedoch, ein Bewusstsein für die Bedrohung zu schaffen, damit jede/r Einzelne – von der IT-Führungskraft bis zum Verwaltungspersonal – zur Verbesserung der Cybersecurity des Unternehmens beitragen kann.

Über den Autor: Alex Hoffmann ist Sales Engineer bei 1Password und seit 2013 in verschiedenen Rollen und Funktionen Teil des Unternehmens. Zuvor leitete er den Kundensupport für die Windows-App und war maßgeblich an der Entwicklung des Business-Sales-Teams von 1Password beteiligt. Alex hat eine Leidenschaft für menschenzentrierte Sicherheit: Er kennt 1Password sowie das Sicherheits-Ökosystem in- und auswendig und weiß, wo die Bedürfnisse der Kunden liegen.

(ID:48371833)