robsonphoto - stock.adobe.com
Security-Risiken durch neue Formen der Schatten-IT
Veränderte Arbeitsweisen und IT-Umgebungen sorgen dafür, sich neue Formen der Schatten-IT herausbilden. Firmen tun gut daran, den Risiken mit pragmatischen Ansätzen zu begegnen.
Die Pandemie hat zu einem rasanten Anwachsen der digitalen Heimarbeit geführt. Analog dazu sind Unternehmen zunehmend mit dem Problem der Schatten-IT konfrontiert. Das ist eine große Herausforderung für die Cybersicherheit. Drei Viertel aller IT-Führungskräfte und mehr als 50 Prozent der Mitarbeiter sind der Ansicht, dass Sicherheit das drängendste Geschäftsproblem ist. Dies sind Ergebnisse einer Studie von PWC zum Thema Fernarbeit. Als Hauptproblem wird die unkontrollierte und nicht oder unzureichend verwaltete Technologie genannt.
Das Wachstum der IT wird in Zeiten der Pandemie weltweit zu einem immer komplexeren Problem. Bereits in der Vergangenheit hatten CISOs und ihre Teams Mühe, den Überblick über Mitarbeiter zu behalten, die unautorisierte Geräte und Anwendungen nutzen. Die IT-Abteilung hat deren Einsatz weder genehmigt noch wurden diese Komponenten professionell verwaltet. Häufig wussten die IT-Experten nicht einmal von deren Existenz.
Die aktuellen Erfahrungen mit Kunden zeigen, dass mittlerweile eine neue und potenziell schädlichere Welle von versteckten Aktivitäten auf die Unternehmen zurollt. Diese neue Form der Schatten-IT lässt sich im Wesentlichen in die drei folgenden Kategorien einteilen.
Remote-Management-Tools
Wie bereits erwähnt, verändert die rasante Zunahme von Home-Office-Arbeitern das Gesicht der Unternehmen. Selbst wenn wir nach der Pandemie zu einer gewissen Form der Normalität zurückkehren, wird sich die Arbeit vom heimischen Büro nicht wieder vollständig in die Unternehmen zurückverlagern. 83 Prozent der Arbeitgeber betrachten in der genannten Studie die Umstellung auf Remote-Arbeit als einen Erfolg. Weniger als eine von fünf Führungskräften möchte nach dem Ende der Pandemie wieder wie gehabt ins Büro zurückkehren. Auch 55 Prozent der Mitarbeiter sagen, dass sie versuchen werden, mindestens drei Tage pro Woche remote zu arbeiten, sobald die COVID-19-Krise vorüber ist.
Um die Remote-Arbeit breit gefächert zu ermöglichen und den kontinuierlichen Betrieb aufrechtzuerhalten, setzen IT- und Helpdesk-Teams Software-Tools (wie zum Beispiel TeamViewer) ein. Auf diese Weise können Administratoren Probleme auf den Systemen im Home-Office beheben und diese konsistent konfigurieren. Diese Tools retten den Tag, wenn IT-Pannen die Produktivität und die Einhaltung von Fristen bedrohen.
Falsch konfiguriert oder missbraucht, können diese nützlichen Tools allerdings sehr schnell zu einer Waffe werden, die in fast alle Geräte eindringen kann, die in das Unternehmensnetz integriert sind. Da es sich bei Remote-Management-Tools um legitime Software handelt, werden sie von Sicherheitsteams, die sich auf die Jagd nach Ransomware und anderen bösartigen Dateien konzentrieren, oft übersehen. Wie der Einbruch in ein Wasserwerk in Florida zu Beginn des Jahres 2021 zeigt, kann ein Remote-System durchaus unter dem Radar der IT-Sicherheitsaufsicht verschwinden, wenn ein Angreifer herausfindet, wie er darauf zugreifen kann. Auch schlechte Sicherheitsrichtlinien, die den Einsatz sowie den Zugriff auf diese Tools regeln, sind eine Gefahrenquelle.
Cloud-Datenbanken und -Dienste
Immer mehr Mitarbeiter melden sich bei Testkonten verschiedener SaaS-Tools (Software as a Service) an, sei es, um Funktionen zu testen oder um ihre Projekte zu unterstützen. Dieses Verhalten zieht sich durch sämtliche Unternehmensbereiche, angefangen bei der Geschäftsentwicklung, über das Marketing bis hin zur Personalabteilung, um nur einige Beispiele zu nennen. Wenn der Benutzer davon ausgehen kann, dass der SaaS-Anbieter alle eingegebenen Daten löscht, sobald die Testphase beendet ist, kann das Testen dieser Anwendungen durchaus als sicheres „Ausprobieren" angesehen werden. Sind diese Anwendungen aber nicht korrekt konfiguriert oder werden die Daten nicht unwiderruflich gelöscht, wenn sie nicht mehr genutzt werden, wird es problematisch. Selbst während der Testphase können flüchtige Daten entstehen, die zu Sicherheitsbedrohung werden und brisante Folgen für ein Unternehmen haben können.
Moderne Infrastrukturen oder Gebäudetechnik
Nicht jede Arbeit kann von zuhause aus erledigt werden. Auch wenn die Zahl der Mitarbeiter im Home-Office zunimmt, sind Büros, Fabriken oder Filialbetriebe immer noch die Regel und müssen durch Standard-Gebäudetechnik unterstützt werden. Diese basiert in der Regel auf unterschiedlichen Geräten, Produktionsanlagen, Heizungs-, Lüftungs- und Klimaanlagen und zahlreichen anderen Komponenten. Alle diese Assets sind in den Unternehmensnetzwerken mit den Ressourcen und Daten eines Unternehmens verbunden. Das ist die Voraussetzung für Automatisierung oder den Einsatz „intelligenter“ Technologien, die es ermöglichen sollen, die die Betriebseffizienz zu steigern. Daten, die lokal auf diesen Internet-of-Things-Geräten und betriebstechnischen Anlagen erzeugt werden, sind häufig unverschlüsselt und oft außerhalb der Reichweite von Sicherheitskontrollen gespeichert. Das kann zum Einfalltor für Angreifer werden.
Konnektivität als Schwachstelle
Facility-Manager und Betriebsleiter haben heute keine andere Wahl mehr, als Geräte mit eingebetteten, drahtlosen Konnektivitäts- und Datenverarbeitungsfunktionen anzuschaffen. Das ist die Voraussetzung für den Einsatz neuer Komponenten, die diese Funktionen ausdrücklich verlangen. Um die Garantie- und Supportleistungen der Hersteller in Anspruch nehmen zu können, sind Konnektivitätsoptionen inzwischen meist zwingend notwendig.
Facility- und IT-Teams versäumen es leider häufig, ihre Neuanschaffungen und deren Einfluss auf die Kommunikation im Netzwerk transparent zu machen, obwohl diese die allgemeine Sicherheitslage im Unternehmen nachhaltig beeinflussen. So wird dem Ökosystem des Unternehmens eine weitere verwundbare Schicht der neuen Schatten-IT hinzugefügt.
Risikomanager müssen stets damit rechnen, dass es immer IT-Assets und -Workflows geben wird, die sich vorhandenen Richtlinien und Sicherheitskontrollen entziehen oder diese sogar bewusst umgehen.
Neuen Schatten-IT-Formen richtig begegnen
Den zyklischen Wellen neuer Schatten-IT-Formfaktoren kann jedoch mit ein paar pragmatischen Ansätzen begegnet werden:
Vermeiden sie bei der Betrachtung des Schatten-IT-Problems einen Tunnelblick, indem Sie sich nur auf traditionelle Szenarien wie USB-Sticks und Smartphones konzentrieren. Richten Sie Ihre Regeln und Hinweise nur auf traditionelle Szenarien aus, bekommen Sie bei der Problemlösung schnell ein falsches Gefühl der Sicherheit.
„Die Aufgabe der Sicherheitsexperten ist es, aus jeder Perspektive einen objektiven Blick auf das Problem zu werfen. Auf diese Weise stellen sie sicher, dass die Sicherheit als wichtiger Teil der Teamleistung akzeptiert wird.“
Camille Charaudeau, CybelAngel
Betten Sie dieses Thema abteilungsübergreifend in Gespräche ein. Das ist wichtig, weil immer mehr Unternehmen flachere Hierarchien als bisher üblich haben. Das geht Hand in Hand mit mehr Freiraum für verschiedene Abteilungen, die innovativere Abläufe einführen und Prozesse transformieren. Das lädt allerdings immer mehr Leute dazu ein, Power-User zu werden und mit NAS-Geräten, SaaS-Plattformen und anderen Vektoren zu experimentieren, die preiswerter sind oder mehr Funktionen bieten, um riesige Datenmengen zu bewältigen. Teams müssen immer wieder an die Fallstricke erinnert werden, die im Alltag auftreten können. Sei es, wenn die bereitgestellten Verschlüsselungsfunktionen nicht genutzt werden oder es versäumt wird, nicht mehr benötigte Daten nachweislich zu löschen.
Nutzen Sie Abweichungen von etablierten Routinen zu Ihrem Vorteil, wann immer dies möglich ist. Das vergangene Jahr hat dramatische Veränderungen gebracht. Das gilt speziell für die Art und Weise, wie Mitarbeiter interagieren und produktiv bleiben. Die Automatisierung hat die Arbeit in Lagerhäusern und Logistikzentren beschleunigt. Viele Unternehmen sahen sich dazu gezwungen, die Zahl ihrer bestehenden Cloud- und Kollaborationsplattformen zu konsolidieren. Mit leistungsfähigeren Lösungen kann heute mehr Anwendern im Home-Office ein breit gefächertes Angebot zur Verfügung gestellt werden. Diese Zielgruppe profitiert dadurch von den Vorteilen einer integrierten Dateifreigabe, von Videokonferenzen und anderen produktiven Lösungen, die zur Produktivitätssteigerung beitragen. Unabhängig davon, ob Ihr Unternehmen nach der Pandemie die meisten oder sogar alle Mitarbeiter in die Büros zurückholt - oder wann dies geschieht -, ist es eine vernünftige Maßnahme, sich von wenig genutzten oder veralteten Geräten, Apps oder auch Partner zu verabschieden. Das kommt den neuen Strukturen eines Unternehmens zugute.
Wunsch nach mehr Produktivität fördert Schatten-IT
Schatten-IT kann ein Symptom für zu viel Druck und dem übermäßigen Wunsch nach mehr Produktivität sein. Sicherheitsprofis und Risikomanager müssen sie allerdings als Problem für die Unternehmens-IT ansehen und nach einer Lösung suchen. Sie dürfen sich bei ihren Bemühungen nicht allein auf die Geräte konzentrieren. Vielmehr müssen sie auch mit dem Team sprechen, also den Menschen, die unter Druck stehen.
Schatten-IT kann aber auch ein Zeichen für strukturelle Probleme in einem Unternehmen sein. Zeigen Kommunikation und persönliches Engagement der Sicherheitsprofis keine oder wenig Wirkung, muss die Problematik tiefgreifender betrachtet werden. Häufig ist eine nicht vorhandene Sicherheitskultur das größte Problem, beispielsweise weil das Management in diesem Umfeld unzureichend ist oder es an verbindlichen Richtlinien und Verantwortlichkeiten mangelt. Nur wenn Unternehmen hier klare Strukturen schaffen, können Sie verhindern, dass der Betrieb von Cyberrisiken überschwemmt wird.
Deutliche Anweisungen und Remote-Unterstützung helfen und motivieren auch die Mitarbeiter, die während der Pandemie im Home-Office direkt an der Cyberrisikofront arbeiten. Die Aufgabe der Sicherheitsexperten ist es, aus jeder Perspektive einen objektiven Blick auf das Problem zu werfen. Auf diese Weise leisten sie einen wertvollen Beitrag und stellen sicher, dass die Sicherheit als wichtiger Teil der Teamleistung akzeptiert wird.
Über den Autor:
Camille Charaudeau ist der Vizepräsident für Produktstrategie bei CybelAngel. Er arbeitet eng mit den strategischen Partnern und Kunden von CybelAngel sowie mit Marktanalysten zusammen, um sicherzustellen, dass die Plattform deren Anforderungen erfüllt und zukünftige Anforderungen voraussieht.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
