lolloj - Fotolia
Dem Sicherheitsrisiko Schatten-IT souverän begegnen
Die Nutzung nicht offiziell sanktionierter Dienste ist vielerorts Alltag. Anstelle zu versuchen, sie alle zu verbieten, ist es wesentlich sinnvoller, sie effektiv zu verwalten.
Wer das Thema Schatten-IT erwähnt, erntet bei den meisten IT- und Sicherheitsverantwortlichen in Unternehmen höchstwahrscheinlich ein genervtes Stirnrunzeln. Das ist verständlich. Schatten-IT oder Shadow IT, wie beispielsweise ein nicht genehmigter Server oder ein Cloud-Storage-Service, der (nicht unbedingt idealerweise) von Geschäftsführern betrieben wird, kann Systeme und Daten einem ernsthaften Risiko aussetzen.
Und trotzdem, auch für die Schatten-IT gilt, es gibt immer zwei Seiten einer Medaille. Mitarbeiter, die sich der Schatten-IT bedienen, steigern mit den von ihnen als nützlich erachteten und deshalb ausgewählten Cloud-Anwendungen und -Diensten ihre Produktivität. Und produktive Mitarbeiter bringen ganz zweifellos das Unternehmen voran – nicht zuletzt auch aus dem Grund, dass sie zufriedener sind, wenn sie diejenigen Tools nutzen können, die ihnen vertraut und sympathisch sind.
Dennoch: Schatten-IT kann und wird immer ein erhebliches Risiko für das gesamte Unternehmen darstellen. Wenn Benutzer in Eigenregie entscheiden, welche Cloud-Services sie selbst nutzen oder wie sie mit Kollegen zusammenarbeiten, gerät die IT-Abteilung ins Hintertreffen und verliert den Überblick über diese Systeme und Daten. Letztendlich bedeutet dies, dass Unternehmensdaten über mehrere Cloud-Services verteilt sind und die Transparenz über unternehmenskritische Daten verloren geht. Und das ist immer hochproblematisch.
Und dieses Problem ist kein kleines: Laut Gartner beläuft sich der Anteil von Schatten-IT unter den IT-Anschaffungen im Unternehmen auf rund 40 Prozent. Das heißt, Mitarbeiter entscheiden, verwalten und kontrollieren fast 40 Prozent der IT-Käufe. Und zwar an der IT-Abteilung (und dem unternehmensweiten Security-Konzept) vorbei. Und es kann nicht sein, dass derart viele Technologien und die darin enthaltenen Daten quasi im Schatten oder, anders ausgedrückt, unter dem Radar bleiben.
Schatten-IT ist fester Bestandteil der Unternehmens-IT
Denn wenn die IT-Abteilung nicht weiß, welche Technologien vorhanden und in Benutzung sind, ist es unmöglich, sie oder die darin enthaltenen oder transportierten Daten zu schützen. Darüber hinaus bleibt im Dunkeln, wer auf diese Daten zugreift und warum. Dennoch: Die Schatten-IT ist ein fester Bestandteil der Unternehmenslandschaft und die IT- und Sicherheits-Teams sind gut beraten, sich darauf einzustellen und mit dem Phänomen auseinanderzusetzen.
Und nicht zuletzt gibt es ja auch gute Gründe dafür, dass Mitarbeiter im Unternehmen so schnell und bereitwillig auf Schatten-IT zurückgreifen und sich damit oft über bestehende Regeln und Vorschriften hinwegsetzen. Der „offizielle“ Weg bei der Anschaffung neuer Technologien oder Dienste ist oft recht steinig und zudem langwierig: Oft dauert es Wochen oder Monate, bis IT-Abteilungen neue Server oder Anwendungen bereitstellen. Aber nur mit einer Kreditkarte können sich Anwender innerhalb weniger Minuten Cloud-Anwendungen und -Services beschaffen und sie dann auch fast sofort nutzen oder darauf zugreifen.
Es stellt sich die Frage, wie IT-Teams diesen „unbotmäßigen“ Innovationsgeist ihrer Mitarbeiter nutzen und gleichzeitig sicherstellen, dass ihre Daten angemessen gesichert und geschützt sind. Dazu muss diese spezielle Art der IT aus dem Schatten heraus. Der erste Schritt besteht darin, festzustellen, welche Schattenanwendungen und Cloud-Services vorhanden und in Benutzung sind, um so eine genaue Ausgangsbasis für die Analyse der verwendeten Cloud-Anwendungen und -Dienste überhaupt erst zu schaffen.
Dazu gibt es eine ganze Reihe von Möglichkeiten, und die jeweils beste Methode hängt von der Art und Größe des Unternehmens ab. Am Anfang könnte eine einfache Umfrage unter den einzelnen Unternehmensbereichen stehen, die dazu dient, Informationen über die jeweils verwendeten Anwendungen zu sammeln. Ein anderer Ansatz wäre, den Datenverkehr und die Endpunkte zu monitoren, um festzustellen, welche Applikationen verwendet werden und wohin die Daten übertragen werden.
Schatten-IT transparent machen
Im Grunde ist es allerdings egal, welche Vorgehensweise verwendet wird – das Wichtigste ist, das Thema überhaupt ernst zu nehmen und mit der Analyse der verwendeten Schatten-IT anzufangen.
Nachdem die Schatten-IT dann identifiziert worden ist, seien es Cloud-Apps, Storage oder Plattformen, sollte die Konsequenz nicht sein, die Nutzung dieser Dienste zu bestrafen oder komplett zu unterbinden. Es empfiehlt sich aber, die von den Mitarbeitern gewählten Dienste korrekt zu verwalten und zu sichern, damit die IT- und Sicherheitsteams über eine angemessene Datentransparenz verfügen. Das heißt, die Verantwortlichen müssen sehen und nachvollziehen können, welche Daten an diese Dienste fließen und auch den Zugang zu diesen Daten kontrollieren.
Nur so können die IT-Verantwortlichen sicherstellen, dass die Daten geschützt und im Ernstfall auch wiederherstellbar sind. Auf alle Fälle bewirkt die aktive Auseinandersetzung mit dem Phänomen Schatten-IT einen unternehmensweiten Aha-Effekt: Für die Mitarbeiter stellt sie eine notwendige Erinnerung dar, wie wichtig Patches und System-Updates sowie die ordnungsgemäße Überwachung von Systemen und Daten für die Sicherheit des Unternehmens sind. Und anstatt beispielsweise einen Schattenserver komplett abzuschießen, kann die IT-Abteilung ihn überwachen und ordnungsgemäß verwalten. Das Gleiche gilt für alle Cloud-Services und -Anwendungen. Anstelle zu versuchen, sie alle zu verbieten, ist es wesentlich sinnvoller, sie effektiv zu verwalten.
„Auf alle Fälle bewirkt die aktive Auseinandersetzung mit dem Phänomen Schatten-IT einen unternehmensweiten Aha-Effekt“
Rob Juncker, code42
Damit ist in erster Linie gemeint, ein möglichst umfassendes Monitoring einzusetzen, und so Informationen über jede Version jeder Datei zu sammeln. Es gilt, möglichst vollständig zu erfassen, wo genau die Daten vorgehalten werden und wohin sie übertragen werden – von den Endpunkten im Unternehmen selbst bis zur Cloud. Mit dieser Art von „Aufsicht“ können Sicherheitsteams das wertvolle geistige Eigentum ihres Unternehmens überwachen, untersuchen, bewahren und schließlich wiederherstellen, ohne die Datennutzung insgesamt blockieren oder sich auf zum Teil sehr restriktive Richtlinien verlassen zu müssen.
Für ein solches umfassendes Monitoring eigenen sich traditionelle DLP-Lösungen (Data Loss Prevention) in vielen Fällen nicht: Da hier die zu überwachenden Daten und Dateien im Vorfeld gemäß einer zuvor definierten Policy klassifiziert werden müssen, bleiben Daten, die „im Schatten“ sind oder aus sonst einem Grund vom festgelegten Schema abweichen, bei der Überwachung mit einer DLP-Lösung schlicht und einfach außen vor.
Wenn die Schatten-IT auf diese Weise verwaltet wird, bringt das den Unternehmen einige entscheidende Vorteile: IT- und Sicherheitsteams werden zu besseren „Business Enablern“ und unterstützen gleichzeitig die Bedürfnisse der Mitarbeiter. Sie werden zu einem vertrauenswürdigen Berater und Moderator, der dem Unternehmen hilft, sicher voranzukommen.
Über den Autor:
Rob Juncker ist Senior Vice President of Research, Development and Operations bei code42 und leitet die Softwareentwicklungs- und Bereitstellungsteams.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
