Risiken nicht verwalteter IT-Systeme Schatten-IT und technische Schulden

Von Andreas Müller

Anbieter zum Thema

Schatten-IT ist kein neues Problem, sondern beschäftigt IT-Abteilungen schon seit geraumer Zeit. Doch mit dem starken Anstieg von Remote- und Hybrid-Arbeit in den letzten Jahren ist die Anzahl der zu überwachenden Geräte, Apps und Konten in die Höhe geschnellt und der Überblick oft komplett verlorengegangen.

Transparenz, Automatisierung und Integration spielen bei der Eindämmung von Schatten-IT und technischen Schulden eine wichtige Rolle.
Transparenz, Automatisierung und Integration spielen bei der Eindämmung von Schatten-IT und technischen Schulden eine wichtige Rolle.
(Bild: sdecoret - stock.adobe.com )

Ein großes Problem neben Schatten-IT ist, dass IT-Abteilungen immer öfter technische Schulden anhäufen, um unerwartete Herausforderungen kurzfristig zu lösen. Die Folge sind eine vergrößerte Angriffsfläche und deutliche Mehrkosten, die nur mit dem konsequenten Umsetzen von Transparenz, Automatisierung und Integration in den Griff bekommen werden können.

Schatten-IT, englisch Shadow IT, meint jegliche Art nicht verwalteter IT-Systeme, die von Mitarbeitenden genutzt werden, jedoch nicht auf dem Radar von IT- und Sicherheitsteams auftauchen. Hierzu zählen u.a. Cloud-Konten oder Messaging-Apps, aber auch Hardware wie etwa Laptops oder Smartphones, die ohne Wissen der IT-Verantwortlichen zum Einsatz kommen.

Dabei nimmt der Anteil der Schatten-IT in den Unternehmen immer weiter zu. Wie eine von McAfee bei Censuswide in Auftrag gegebene Befragung von 500 IT-Leitern in Deutschland gezeigt hat, nutzen bereits mehr als die Hälfte der Mitarbeitenden in Unternehmen Applikationen, ohne dass die IT-Abteilung davon weiß. 41 Prozent der befragten Angestellten räumten zudem den Einsatz von nicht sanktionierten Cloud-Services ein.

Wie Schatten-IT entsteht

Will man Schatten-IT gezielt eindämmen, muss man sich bewusst machen, in welchem Umfeld sie entsteht und woran liegt es, dass Mitarbeitende auf nicht-gemanagte Apps und Dienste zurückgreifen. Folgende vier Punkte sind typische Beispiele für Schatten-IT, die IT-Abteilungen im Blick haben sollten:

1. Remote- und Hybrid-Arbeit

Um auch in entfernten und hybriden Arbeitsumgebungen uneingeschränkt produktiv sein zu können, brauchen Mitarbeitende eine Vielzahl an Collaboration-Tools und -Diensten, die sie in ihrer geschützten Büroumgebung sonst nicht einsetzen. Gerade als zu Beginn der Pandemie der Großteil der Belegschaft teils vollkommen unvorbereitet ins Homeoffice geschickt wurde, griffen viele Mitarbeitende spontan auf neue Werkzeuge zurück, deren Einsatz von der IT-Abteilung so nicht genehmigt wurden, etwa für das Versenden von Textnachrichten oder die Freigabe von Daten. Durch diese unkontrollierten und teils unsicheren Dienste hat sich die Angriffsfläche der Unternehmen in kürzester Zeit massiv vergrößert.

Das Gefährliche dabei ist, dass auch Remote-Mitarbeiter oft administrativen Zugriff auf lokale Workstations und Anwendungen haben. Sollte es einem Cyberangreifer gelingen, sich Zugang zu einem Gerät mit lokalen Administratorrechten zu verschaffen, kann er diesen nutzen, um Passwörter zu stehlen, Malware zu installieren oder Daten zu exfiltrieren. Möglicherweise ist er sogar in der Lage, Privilegien zu erhöhen, um so Zugriff auf die gesamte IT-Umgebung zu erhalten.

2. Nicht-verwaltete Browser

Der Großteil der Arbeitsabläufe findet heute über Internet-Browser statt, weshalb die meisten Benutzer auch mindestens zwei oder mehr davon auf ihren Rechnern laufen haben. Werden diese Browser von den Unternehmen nicht selbst verwaltet – und dies ist meist die Realität – entsteht eine große Sicherheitslücke. Das liegt vor allem daran, dass Browser die Benutzer oft dazu auffordern, sensible Anmeldedaten, Kennwörter oder Kreditkarteninformationen zu speichern. Hacker wissen diese Schwachstelle auszunutzen und sehen in ungemanagten Browsern eine ideale Möglichkeit, um kritischen Informationen abzugreifen und sich so Zugang zu Systemen und Datenbanken zu verschaffen oder betrügerische Zahlungen im Namen eines Unternehmens vorzunehmen.

3. Produktivitäts-Apps

Productivity-Apps von Drittanbietern, die es den Nutzern ermöglichen, Aufgaben effektiv und schnell zu erledigen, werden immer beliebter. Egal ob aus Google Play oder dem App Store heruntergeladen oder browserbasiert: Werden diese Anwendungen ohne Überprüfung durch die IT-Abteilung heruntergeladen und installiert, drohen dem Unternehmen hohe Risiken. Denn den unbedarften Nutzern ist oft nicht bewusst, dass diese beliebten Apps oft nicht über die nötigen Sicherheitskontrollen verfügen oder nicht so häufig aktualisiert werden, wie es die Sicherheitsvorgaben des Unternehmens verlangen. Nicht selten werden sensible Daten in allen möglichen Repositories gespeichert und kritische Geschäftsinformationen für den Rest des Teams nicht unkenntlich gemacht. Gleichzeitig kann die Software widersprüchliche Sicherheitsmodelle aufweisen, die nicht mit den Unternehmensrichtlinien für die Zugriffskontrolle oder Datennutzung übereinstimmen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

4. Schnelle Produktionszyklen

Unter dem zunehmenden Druck, schnell und effizient arbeiten zu müssen, sehen sich Entwickler und DevOps-Teams immer häufiger dazu gezwungen, die Sicherheit der Geschwindigkeit hintenanzustellen, was Schatten-IT begünstigt. So richten Entwickler beispielsweise schnell Instanzen in der Cloud ein und lassen diese ebenso schnell wieder verschwinden. Das Problem: Die Daten leben in der Cloud-Umgebung weiter, ohne dass die IT- oder Sicherheitsteams jemals etwas davon erfahren.

Wie Richtlinien helfen, die Kontrolle zurückzuerlangen

Eigentlich ist es ganz einfach: Solange die IT-Abteilung nicht in der Lage ist, sämtlichen Mitarbeitenden Zugang zu sicheren Tools und nahtlosen Arbeitsabläufen zu gewähren, besteht die Gefahr, dass diese die Dinge selbst in die Hand nehmen und Lösungen auf eigene Faust entwickeln. Soll Schatten-IT nachhaltig eingedämmt werden, müssen es die IT- und Sicherheitsteams schaffen, die Anforderungen an Sicherheit und Datenschutz mit den Produktivitätsanforderungen in Einklang zu bringen. Dies gelingt am besten mit der Einführung und konsequenten Durchsetzung von Richtlinien und Kontroll-Lösungen, die automatisiert und vor allem im Hintergrund agieren, nicht nur für Sicherheit zu sorgen, sondern auch Reibungsverluste in den Arbeitsabläufen zu vermeiden.

Für ein erstes „Aufräumen“ empfiehlt sich der Einsatz eines Tools, das sämtliche bösartigen, unsicheren und unbekannten Anwendungen und Programme im eigenen Netzwerk sicher aufspürt, und es ermöglicht, diese zu löschen oder zu überprüfen. Und auch ein Tool, welches im Browser gespeicherte Passwörter sämtlicher Active Directory-Nutzer identifiziert und anzeigt, ist obligatorisch.

Darüber hinaus sollte eine richtlinienbasierte Anwendungskontrolle zum Einsatz kommen, die es möglich macht, Anwendungen, die Benutzer herunterladen möchten, automatisch mit Listen vertrauenswürdiger Anwendungen bzw. den neuesten Bedrohungsdaten zu verdächtigen Anwendungen abzugleichen. Dabei sollte sichergestellt werden, dass jede unbekannte, nicht vertrauenswürdige Anwendung zur weiteren Überprüfung zunächst automatisch in eine Sandbox geschoben wird, bevor sie zum Einsatz kommen.

Warum auch technische Schulden Schatten-IT hervorbringen

Was bei der Diskussion rund um Schatten-IT gerne übersehen wird, ist, dass dieses Sicherheitsproblem nicht nur Geschäftsanwender und Entwickler betrifft, die außerhalb der IT-Security arbeiten, sondern auch IT-Teams – insbesondere, wenn diese nicht koordiniert zusammenarbeiten. Denn dieser Mangel an Koordination führt häufig zu technischen Schulden (technical debt). Darunter versteht man den zusätzlichen Aufwand, der entsteht, wenn Teams auf kurzfristige, einfachere Lösungen setzen, anstatt Zeit, Mühe und Kapital in einen langfristigen Ansatz zu investieren. So treffen IT-Abteilungen nicht selten kurzfristige Entscheidungen über IT-Lösungen, setzen auf Einzweck-Tools oder kaufen mehrere, isolierte Produkte, um auftretende Probleme schnell zu lösen und den Betrieb des Unternehmens aufrechtzuerhalten.

Oft sparen sie dabei jedoch am falschen Ende. Denn technische Schulden können zu einer sehr kostspieligen Angelegenheit werden, was vor allem für Unternehmen mit knappen Budgets und begrenzten Ressourcen kritisch ist. Die kurzfristigen, scheinbar geringen Ausgaben ziehen nicht selten hohe Kosten für Erneuerung, Wartung, Schulung und Upgrades nach sich. Außerdem sind die Tools in der Regel uneinheitlich und nur begrenzt integrierbar. Auch benutzerabhängige Systeme werden hier zum Problem, da andere Kollegen oder Vorgesetzte oft nichts von deren Existenz wissen. Nach Ausscheiden des dafür verantwortlichen Mitarbeitenden geraten diese oft in Vergessenheit und vergrößern den „digitalen Schatten“.

Sollen technische Schulden effektiv reduziert werden, müssen die IT-Abteilungen strategisch denken und Entscheidungen treffen, die mit dem langfristigen Fokus eines Unternehmens im Einklang stehen. Dabei ist es wichtig, die Cybersicherheit zukunftssicher zu gestalten, sich von Einzellösungen zu lösen und stattdessen funktionsreiche Technologien einzusetzen, die mit dem Unternehmen mitwachsen und im Laufe der Zeit einen Mehrwert schaffen können.

Fazit

Transparenz, Automatisierung und Integration spielen bei der Eindämmung von Schatten-IT und technischen Schulden eine wichtige Rolle und unterstützen Unternehmen nicht nur dabei, ihre Angriffsfläche zu minimieren, sondern können auch die Benutzerfreundlichkeit verbessern.

Über den Autor: Andreas Müller ist VP Sales DACH bei Delinea.

(ID:48477521)