Schatten-IT breitet sich immer weiter aus. Für Unternehmen aller Größen stellt sie ein zusätzliches Cyber-Security-Risiko dar. Der Sicherheitsspezialist Tenable Network Security erklärt drei Schritte, wie Administratoren nicht genehmigte IT-Systeme vermeiden.
Schatten-IT, das sind Endgeräte, Anwendungen oder Services, die Mitarbeiter unter dem Radar der IT-Verantwortlichen in Firmennetzwerken ein setzen. Diese Verhalten bringt Unternehmen nicht nur Vorteile. Einerseits ergeben sich neue Möglichkeiten die Effizienz zu erhöhen oder sich Innovationen ins Haus zu holen, beispielsweise durch cloudbasierte Tools für die gemeinsame Bearbeitung oder Speicherung von Dokumenten. Andererseits drohen eine ganze Reihe von Risiken, wenn Mitarbeiter Lösungen unkontrolliert einsetzen. Was die IT-Abteilung nicht sieht, kann sie auch nicht absichern.
Die Gefahren der Schatten-IT reichen vom Missachten von Governance- und Compliance-Regeln, über neue Angriffspunkte für Cyberkriminelle und Malware, bis hin zu Problemen bei Backup und Disaster-Recovery. Prominentes Opfer ist die ehemalige US-Außenministerin Hillary Clinton, die ihren privaten Email-Account anstelle ihres offiziellen einsetzte.
Mit dem grundsätzlichen Wandel in der IT, ausgelöst und vorangetrieben durch Konzepte wie Software as a Service (SaaS) und Bring your own device (BYOD), ergeben sich neue Bedrohungen so schnell, wie alte entdeckt werden. „Die bisherige Schutzmaßnahmen sind gescheitert!“, warnt Tenable Network Security. „Wir brauchen einen neuen Ansatz für die Sicherheit, der mit der Evolution in der IT mithalten und IT-Sicherheit flexibel gestalten kann.“
Die ausufernde Schatten-IT sei ein erstes Beispiel für die neuen Bedrohungen. Sie lasse sich schwer aufhalten und schlecht kontrollieren. Unternehmen müssten den Schattengewächsen begegnen, um die Sicherheitslücken zu schließen. Drei Schritte in diese Richtung schlagen die Sicherheitsexperten vor:
- Einen kontinuierlichen Einblick sicherstellen
Was unsichtbar ist, kann nicht gesichert werden. Deshalb sei es notwendig alle Endgeräte, Anwendungen usw. zu erfassen. Oftmals stießen die herkömmlichen und klassischen Sicherheitslösungen dabei eine Grenze: Sie seien auf Vulnerability-Scanning ausgelegt, mit Momentaufnahmen könnten aber beispielsweise kurzzeitig eingeloggte Geräte nur schlecht erfasst werden. Eine Alternative zu herkömmlichen SnapShot-Scans stellten passive Scans dar, die kontinuierlich alle Geräte, Services und Anwendungen im Netzwerk ermitteln. Würde ein unbekanntes Gerät erkannt, könnten Admins Gegenmaßnahmen einleiten. - Kontext erfassen und verstehen
Der nächste Schritt bestehe darin, die erfassten Assets laufend zu überprüfen, um zu erkennen, wie sie interagieren. Werde der Datenverkehr erfasst, könnten mögliche Schwachstellen identifiziert werden: Wo findet ein Austausch von Datenpaketen statt? An welcher Stelle drohen Daten verloren zu gehen, etwa, weil sie auf öffentlichen Clouds abgelegt werden? Gerade wenn Mitarbeiter Unternehmensdaten auf öffentlich zugänglichen Cloud abspeicherten, drohten diese kompromittiert zu werden. - Vorgehen abstimmen und priorisieren
In Zeiten einer wachsenden Vielfalt und Zahl von Bedrohungen und gleichzeitig beschränkten personellen sowie technischen Ressourcen, sollten Unternehmen den Ressourceneinsatz priorisieren. Es stelle sich die Frage, welche Assets die Sicherheit bedrohen: Ohne zuvor den Kontext erfasst zu haben, sei es für die IT-Abteilung schwierig, dies festzulegen. Sei die Umgebung zu laut, gingen wichtige Zwischentöne verloren. Jürgen Frisch
