![ShadowIT ShadowIT](https://kertos.io/wp-content/uploads/2024/12/ShadowIT.png)
Shadow IT und seine Bedeutung in modernen B2B-Umgebungen
![Picture of Dr. Kilian Schmidt](https://kertos.io/wp-content/uploads/2024/08/contact-image-one-251x300.png)
Dr. Kilian Schmidt
Dr. Kilian Schmidt ist Jurist, Co-Founder und CEO der Kertos GmbH und bringt zahlreiche Jahre Erfahrung in Datenschutz- und Legal Tech mit.
AUF EINEN BLICK
Shadow IT beschreibt die Nutzung nicht autorisierter Software oder Geräte durch Mitarbeiter, was Sicherheitsrisiken birgt und oft aus Frustration über langsame IT-Prozesse resultiert
Beispiele für Shadow IT sind private Geräte (BYOD), nicht genehmigte Software wie Passwortmanager oder Collaboration-Tools sowie unsichere OAuth-Verbindungen
Risiken von Shadow IT umfassen Sicherheitslücken, Compliance-Probleme und Schwierigkeiten bei der Integration in bestehende IT-Systeme, was die Angriffsfläche für Cyberkriminelle vergrößert
Strategien zur Minderung umfassen die Aufklärung der Mitarbeiter, Einführung interner Richtlinien und Tools wie Kertos, das Shadow IT durch Datenermittlung und Vendor-Management sichtbar macht und minimiert
Shadow IT: Das trojanische Pferd moderner Unternehmen
Stell dir eine Burg vor, die aufgrund ihrer komplexen Bauweise und der Anwesenheit von Wachen, die kein unbefugtes Betreten zulassen, vor Eindringlingen sicher ist. Dieses Schloss steht fest in seiner Position, bis ein Insider die Sicherheit sabotiert, indem er versehentlich und ohne Wissen der Wachen ein Tor von innen öffnet.
Die Shadow IT ähnelt der Geschichte von trojanischen Pferden und Insider-Bedrohungen in einer B2B-Umgebung. So wie die unbeabsichtigten Handlungen der Wachen das Schloss für Eindringlinge öffnen, können Mitarbeiter unwissentlich ein Tor für Cyberkriminelle öffnen, indem sie Schwachstellen durch nicht autorisierte Software oder Geräte einführen.
Dieser Teil der Informationstechnologie, den Mitarbeiter aus Bequemlichkeit ohne das Wissen der IT-Administratoren in Betrieb nehmen, ist die Shadow IT. Dabei handelt es sich um die Verwendung nicht autorisierter Software oder IT-Ressourcen in einem Unternehmensnetzwerk, die nicht offiziell vom IT-Team selbst genehmigt oder zugewiesen wurden.
Obwohl es sich hierbei um ein altbekanntes Problem handelt, ist Shadow IT auch heute noch ein wichtiger Faktor für die Cybersicherheit. Untersuchungen von CISCO haben ergeben, dass nur 8 % der Unternehmen das Ausmaß der Nutzung von Shadow IT in ihrem Unternehmen kennen. 80 % der Endnutzer verwenden eine Software, die nicht von der IT-Abteilung genehmigt wurde, und 83 % der Administratoren von IT-Mitarbeitern geben zu, dass sie nicht genehmigte Software oder Dienste nutzen.
Die Shadow IT wird in Unternehmen voraussichtlich an Bedeutung gewinnen, da die Menschen immer technikaffiner werden. Laut Prognosen der Gartner-Experten werden bis 2027 wahrscheinlich 75 % der Mitarbeiter Technologien außerhalb der Sichtweite der IT-Abteilung erwerben, verändern oder erstellen. Da hier zahlreiche Risiken lauern, müssen Unternehmen Maßnahmen ergreifen, um die Shadow IT in Schach zu halten. Wir erklären wie.
Shadow-IT leicht gemacht
Bist du bereit, hunderte Stunden Zeit und jede Menge Aufwand in Datenschutz und Informationssicherheit zu sparen? Mache jetzt die Demo und finde heraus, ob Kertos die richtige Lösung für dein Unternehmen ist.
Gründe für das Entstehen von Shadow IT in Unternehmen
Der Wunsch nach Produktivitätssteigerung veranlasst Mitarbeiter häufig dazu, nicht autorisierte Tools zu verwenden, was zur Entstehung von Shadow IT beiträgt. Das Ziel ist hier die Effizienz, die mit dem Herunterladen inoffizieller Tools einhergeht. Was eine Zeit lang den Anschein erweckt, den Schlüssel zur Produktivität zu öffnen, kann das Unternehmen schon bald Sicherheitsbedrohungen aussetzen.
Shadow IT ist nicht immer allein auf die Mitarbeiter zurückzuführen; manchmal sind auch Teams für die Einführung verantwortlich. Laut Gartner werden 38 % der Technologiekäufe nicht von der IT-Abteilung, sondern von den Geschäftsführern getätigt. Wenn Teams neue Cloud-Dienste, SaaS-Anwendungen oder andere Technologien einführen wollen, müssen sie den Beschaffungsprozess durchlaufen, der von der IT und dem CIO durchgeführt wird.
Sie wenden sich an die IT-Teams, um die Genehmigung zur Einhaltung der Unternehmensrichtlinien zu erhalten. Oft ist die Genehmigung neuer Anwendungen in der IT-Infrastruktur eines Unternehmens ein mühsamer und langwieriger Prozess. Diese Lücke bei der Bearbeitung von Benutzeranfragen oder Beschwerden führt zu Frustration. Sie veranlasst Mitarbeiter oder Teams dazu, Abkürzungen zu nehmen und die Verwaltungsprozesse auf eigene Faust zu erledigen. Sobald sie die Cyber-Protokolle zum Schutz des Systems umgehen, erhalten Angreifer Zugang zu einer unkontrollierten und ungeschützten Angriffsfläche.
Seit der Pandemie und der zunehmenden Beliebtheit von Remote-Arbeiten hat die Abhängigkeit der Mitarbeiter von persönlichen Geräten zugenommen. Darüber hinaus haben Bring Your Own Device (BYOD)-Richtlinien dazu geführt, dass Mitarbeiter zu einem Top-Ziel geworden sind. Das Vorhandensein von häufig anzutreffender, nicht autorisierter Software auf solchen Geräten ermöglicht Angreifern einen einfachen Zugang zum sichereren Unternehmensnetzwerk.
Was sind einige Beispiele für Shadow IT?
Hardware
Persönliche Geräte von Mitarbeitern – Laptops, Tablets und Computer – können im Rahmen der BYOD-Richtlinie aus Sicherheitsgründen von der IT-Abteilung überwacht werden. Die Mitarbeiter bringen jedoch auch eine Vielzahl von nicht überwachten Geräten in die Büroräume mit, darunter IoT-Geräte, USB-Geräte, Smartwatches, Servergeräte und Smartphones. Wenn diese Geräte zuvor mit dem Wi-Fi-Netzwerk des Unternehmens verbunden waren und sich wieder in Reichweite befinden, erlauben die Kontoeinstellungen, dass sie sich automatisch wieder verbinden. Auf diesen Geräten ist die Sicherheitssoftware des Unternehmens nicht installiert, und die IT-Abteilung überwacht sie nicht. Sie haben daher das Potenzial, sensible offizielle Daten an Unbefugte weiterzugeben.
Shadow-Software
Die Unterscheidung zwischen von der IT-Abteilung genehmigter Software und Shadow-Software liegt in der Genehmigung und Verwaltung. Shadow-Software ist ein Oberbegriff für Softwareanwendungen, die von Mitarbeitern ohne Wissen der IT-Abteilung im Alltag eingesetzt werden. Beispiele hierfür sind Dienstprogramme wie Passwortmanager, VPN-Clients und Remote-Access-Apps, Messaging-Apps wie WhatsApp und Telegram sowie Tools zur Zusammenarbeit wie Slack, Trello und Asana.
Diese Anwendungen werden zu einem Einfallstor für Angreifer, wenn das zuständige IT-Team sie nicht installiert und die Mitarbeiter selbst entscheiden, kostenlose, persönliche Apps aus dem Internet zu installieren. Diese Anwendungen sind in der Regel sicher, wenn sie offiziell zugewiesen sind, aber sie werden riskant, wenn sie außerhalb der genehmigten Kanäle verwendet werden.
OAuth-Protokoll
Autorisierungs-Frameworks wie das OAuth-Protokoll werden zunehmend beliebter, da sie Benutzern den Zugriff auf Anwendungen von Drittanbietern ermöglichen, ohne dass sie ihre Anmeldedaten weitergeben müssen. Auch wenn diese Frameworks eine granulare Zugriffskontrolle bieten, können wiederholte Pop-ups zu einer Ermüdung der Benutzer führen, die sie dazu veranlasst, umfangreiche Berechtigungen zu erteilen, d. h. sich mit anderen Anwendungen zu verbinden oder den Zugriff auf diese zu genehmigen.
Einige Anwendungen von Drittanbietern können so ohne Zustimmung des IT-Teams auf Unternehmensressourcen wie Cloud-Speicher zugreifen und diese speichern. Da die Kommunikation zwischen der Drittanbieteranwendung und dem Datenserver (z. B. API-Endpunkte) verschlüsselt ist, können herkömmliche DLP-Systeme den Verlust sensibler Daten nicht erkennen. Diese Verhaltensweisen von Mitarbeitern, die sich der Folgen nicht bewusst sind, können ungewollt sensible Daten über Unternehmen preisgeben.
Risiken im Zusammenhang mit Shadow IT
Herausforderungen bei der Integration
Shadow IT kann aufgrund von Unterschieden in Technologie-Stacks, Protokollen oder Standards nicht gut mit der sanktionierten IT-Infrastruktur koordiniert werden. Unterschiede in den Datenformaten, APIs oder Geschäftsprozessen machen die technische Kompatibilität zunichte und behindern einen nahtlosen Datenaustausch zwischen den Systemen.
Arbeitsabläufe, die gemeinsame Informationen über die IT-Infrastruktur hinweg berücksichtigen, um einen umfassenden Überblick über die Abläufe im Unternehmen zu erhalten, werden dadurch gestört. Shadow IT-Ressourcen werden nicht als Teil der IT-Bereitstellung für eine bestimmte Abteilung berücksichtigt.
Wenn die IT-Teams Änderungen am Netzwerk oder an den Netzwerkressourcen vornehmen, kann die fehlende Abstimmung mit der genehmigten IT-Infrastruktur zu Dateninkonsistenzen, doppeltem Aufwand oder sogar Sicherheitslücken führen.
Compliance-Probleme
Unternehmen, die mit sensiblen Daten über Einzelpersonen umgehen, unterliegen strengen Compliance-Vorschriften. Shadow IT erhöht die Wahrscheinlichkeit, dass Produkte und Dienstleistungen sowie deren Anbieter jegliche Sorgfaltspflicht umgehen, bevor sie in die IT-Infrastruktur des Unternehmens gelangen.
Wenn die von den Mitarbeitern genutzten Anwendungen die Daten nicht gemäß den Anforderungen der Datenschutzgesetze angemessen sichern und archivieren, werden sie anfällig für eine behördliche Überprüfung. Wenn beispielsweise Patientendaten von IT-Nutzern einer Gesundheitseinrichtung in Shadow IT-Speicherlösungen gespeichert werden, ergeben sich zusätzliche Anhaltspunkte für Audits.
In diesem Fall kann von ihnen verlangt werden, den Umfang und die Auswirkungen jedes Vorfalls zu prüfen, zu identifizieren und offenzulegen. Dadurch werden nicht nur sensible Daten potenziellen Verstößen ausgesetzt, sondern das Unternehmen läuft auch Gefahr, Datenschutzgesetze wie HIPAA und die DSGVO nicht einzuhalten.
Verstöße gegen die Datensicherheit
Unternehmen, die sich der Nutzung von Shadow IT nicht bewusst sind, wissen möglicherweise nie, ob Angreifer es auf einen ihrer Vermögenswerte abgesehen haben. Die Mitarbeiter des Security Operations Centre (SOC) erkennen möglicherweise keine Anzeichen für Angriffe, die von außerhalb ihres Kontrollbereichs ausgehen.
Shadow IT fällt nicht in den Zuständigkeitsbereich der Teams, die für Updates und Patches verantwortlich sind. Diese Unsichtbarkeit verhindert, dass Shadow IT von den Cybersicherheitslösungen des Unternehmens, wie z. B. Endpoint Detection and Response (EDR), Next-Generation Antivirus (NGAV) oder Threat Intelligence Services, erfasst wird.
Eine Studie von Forbes Insights ergab, dass jedes fünfte befragte Unternehmen Opfer eines Cyberangriffs aufgrund von Shadow IT wurde. Unternehmen sind hilflos, wenn es böswilligen Akteuren gelingt, eine Shadow IT-Anlage zu kompromittieren. Die Beseitigung kompromittierter Anwendungen oder Konten ist kostspielig (laut IBM durchschnittlich 4,45 Millionen US-Dollar pro Datenverletzung).
Strategien und bewährte Verfahren zur Minderung der Risiken von Shadow IT
Der Umgang mit Shadow IT ist einschüchternd. Es ist schwer, eine Quelle ausfindig zu machen, wenn es Hunderte von Anwendungen gibt, aus denen kleine Mengen von Informationen entweichen. Im Folgenden werden einige getestete und bewährte Methoden zur Verringerung der Risiken von Shadow IT vorgestellt.
Achte auf Kosten, die auf eine unbefugte Nutzung von Technologien hinweisen
CISOs sollten mit dem Beschaffungsteam und der Finanzabteilung des Unternehmens zusammenarbeiten, um Ausgaben zu erkennen, die auf die Nutzung von Shadow IT hindeuten könnten. Erstattungsanträge von Mitarbeitern für Ausgaben, die aus eigener Tasche getätigt wurden, sind die ideale Quelle, um aufzudecken, wo Shadow IT eingesetzt wird.
Da diese Käufe in der Regel von geringem Wert sind, können Unternehmen automatisierte Überwachungs-Tools mit vordefinierten Filtern, z. B. von bestimmten Anbietern oder Technologiekäufen, einsetzen, um die Ausbreitung von Shadow IT zu erkennen.
Aufklärung der Mitarbeiter über die Risiken der Shadow IT
Unternehmen sollten sich darüber im Klaren sein, dass die Absicht der Mitarbeiter, Shadow IT zu nutzen, nicht böswillig ist, sondern der Steigerung der Produktivität dient. Es ist wichtig, ihre Sicherheitskompetenz zusätzlich zu den Sensibilisierungsschulungen zu erhöhen.
Es ist unpraktisch, auch nur daran zu denken, aus jedem Mitarbeiter einen Sicherheitsspezialisten zu machen, aber die Mindestkompetenz, mit der sie feststellen können, was eine Bedrohung für das Unternehmen darstellt, muss unbedingt entwickelt werden.
Laut einer Untersuchung von Gartner ist die Wahrscheinlichkeit, dass Mitarbeiter, die eine auf ihre technologiebezogenen Aktivitäten ausgerichtete Schulung erhalten, 2,5 Mal höher, dass sie die Einführung von Cyberrisiken vermeiden, und dass sie doppelt so produktiv mit sanktionierter IT umgehen wie Mitarbeiter ohne eine solche Schulung.
Interne Shadow IT-Richtlinien einführen
Häufig sehen Mitarbeiter die IT-Richtlinien des Unternehmens als Hindernis für ihre Arbeitseffizienz. Unternehmen müssen ihre Frustration verstehen und sie über die Gründe für Richtlinien aufklären. Die Erstellung von Richtlinien für die Einführung neuer Technologien und die regelmäßige Unterrichtung anderer Abteilungen darüber ermöglicht es der IT-Abteilung, neue Anwendungen oder Dienste zu prüfen, bevor sie eingeführt werden. Die Richtlinien sollten konkrete Schritte für das Onboarding und die Verwaltung neuer Anwendungen und Tools sowie eine klare Definition für nicht genehmigte Technologielösungen und die Meldung solcher Fälle von Shadow IT bei Auftreten enthalten.
Shadow IT und ISO 27001 - was bedeutet das für deine Zertifizierung?
Während Shadow IT eine Herausforderung für die Informationssicherheit eines Unternehmens darstellt, beschreibt ISO 27001 Best Practices, die helfen, solche Risiken zu erkennen und zu mindern. ISO 27001 erwähnt keine bestimmte Technologie, sondern bietet Unternehmen einen Rahmen für die Entwicklung ihres eigenen Informationssicherheitsmanagementsystems (ISMS).
Zu den Vorteilen eines ISMS gehören:
- Durch die Förderung einer offenen Kommunikation zwischen der IT und den Geschäftsbereichen wird die Kommunikationslücke zwischen Mitarbeitern und IT verkürzt. Die IT-Abteilung kann Anträge für neue Anwendungen schnell genehmigen, wenn sie diese für den allgemeinen Gebrauch für nützlich hält.
- Der ISMS-Prozess umfasst die Identifizierung und Analyse von Risiken, die für die Informationssicherheit relevant sind. Er umfasst auch die Formulierung von IT-Richtlinien, in denen die Verfahren für die Genehmigung neuer Software und die mit Shadow IT verbundenen Risiken beschrieben werden.
- Das ISMS fördert die Schulung und Aufklärung der Mitarbeiter über die Informationssicherheit und verdeutlicht die Auswirkungen der Nutzung von Shadow IT für Unternehmen. Wenn die Benutzer das Risiko verstehen, ist die Wahrscheinlichkeit geringer, dass sie sich auf nicht autorisierte IT verlassen.
- Die ISO 27001-Zertifizierung spricht Bände über die starke Kultur des Informationssicherheitsmanagements eines Unternehmens, was sich in größerem Kundenvertrauen und Wettbewerbsvorteilen niederschlägt. Die ISO 27001-Zertifizierung erleichtert die Einhaltung anderer Vorschriften wie der DSGVO und HIPPA, deren Anforderungen sich mit denen von ISO 27001 überschneiden.
Wie hilft dir Kertos, riskante Shadow IT zu entdecken?
Die fehlende Sichtbarkeit von Assets, die über die offiziell genehmigten hinausgehen, macht die Shadow IT zu einem wachsenden Risiko für Unternehmen. In der heutigen digitalen Welt, in der Datenschutzverletzungen, Ransomware und Compliance-Strafen täglich für Schlagzeilen sorgen, ist es höchste Zeit für Unternehmen, einen risikoaversen Ansatz für Shadow IT zu wählen.
Kertos bietet eine Reihe von Lösungen, die auf die Datenschutz- und Sicherheitsrisiken eines Unternehmens ausgerichtet sind. Es handelt sich um eine All-in-One-Plattform, die speziell dafür entwickelt wurde, Unternehmen bei der Abschaffung von Shadow IT zu unterstützen. Die Lösungen für die Datenermittlung, das Anbietermanagement und die Richtlinienverwaltung arbeiten zusammen, um Shadow IT vollständig zu eliminieren.
Durch eine gründliche Datenermittlung verschafft Kertos Unternehmen Echtzeit-Einblicke in Datensilos, Verarbeitungsaktivitäten und IT-Infrastruktur. Es identifiziert den Aufenthaltsort sensibler Daten, unabhängig davon, ob sie sich in zugelassenen oder nicht zugelassenen Geräten, Anwendungen und Diensten befinden, und ermöglicht es Unternehmen, die damit verbundenen Risiken zu bewerten und zu mindern.
Mit einem effektiven Vendor-Management hilft Kertos Unternehmen, ein umfassendes Inventar autorisierter Vendoren und ihrer Anwendungen zu führen. Um die Abhängigkeit von Shadow IT zu verringern, stellt Kertos den Mitarbeitern genehmigte Alternativen zur Verfügung, die die erforderlichen Sicherheits-, Compliance- und Leistungsstandards erfüllen.
Mit seiner intelligenten, maßgeschneiderten Dokumentation unterstützt Kertos Unternehmen bei der Automatisierung von ROPAs, DIPAs und TIAs und rationalisiert die Evaluierungsprozesse für neue Technologien. Kertos definiert und implementiert IT-Richtlinien für Datensicherheit, Softwarenutzung und Beschaffung und setzt damit Maßstäbe für den akzeptablen Einsatz von Technologie im Unternehmen.
Wenn du mehr darüber erfahren möchtest, wie Kertos dazu beitragen kann, die Risiken von Shadow IT in deinem Unternehmen zu reduzieren, vereinbare noch heute einen Termin für eine Demo.