Im Dunkeln ist gut Munkeln - Schatten IT und die Sicherheitsrisiken

Was steckt eigentlich hinter dem Begriff Schatten-IT?

Prinzipiell bezeichnet dieser Begriff Software- und Hardware-Lösungen in einem Unternehmen, die offiziell nicht von der Organisation oder der IT-Abteilung eingerichtet oder genehmigt wurden bzw. deren Existenz nicht einmal bekannt ist. Schatten-IT ist an sich ein neutraler Begriff, der allerdings in der Alltagssprache einen negativen Beigeschmack aufweist.

Wie entsteht der Schatten und wie kann man ihn verhindern?

Die Schatten-IT resultiert oft aus dem Bedürfnis ungeduldiger Manager und Mitarbeiter nach sofortigem Zugriff auf Hardware, Software oder speziellen Web-Diensten, ohne die dafür im jeweiligen Unternehmen notwendigen Genehmigungen abwarten zu müssen. Eine Schatten IT-Infrastruktur kann sich also ungestört ausbreiten, wenn Mitarbeiter auf eigene Faust Cloud-Lösungen nutzen und ihre eigenen Geräte mit in das Unternehmensumfeld einschleusen.

Einer Studie von IDG zufolge verwenden Fachabteilungen in 39 Prozent der befragten Unternehmen kostenpflichtige Cloud-Services für Dinge wie Bürokommunikation, Projektmanagement, Datenbanken oder Kollaboration -Dienste ­­ — ohne die IT-Abteilung miteinzubeziehen. Bei den kostenlosen, frei verfügbaren Cloud-Diensten sind es sogar 69 Prozent. Dadurch kann es zu unkontrolliertem und risikoreichem Wildwuchs kommen mit der Folge, dass interne Richtlinien und externe Compliance-Anforderungen verletzt werden können und Sicherheits-Probleme entstehen.

Wie man den Risiken begegnen kann

Die Ausbreitung des Cloud Computing hat sich bis hin zum Thema IT Consumerization ausgebreitet und manifestiert sich darin, dass immer mehr Mitarbeiter ihre eigenen Geräte nicht nur ins Unternehmen mitbringen (BYOD) sondern diese auch aktiv im Unternehmensnetzwerk einsetzen. Mit der Nutzung privater Endgeräte steigen also auch die Sicherheitsrisiken und Vorbehalte von Seiten der Firmen, die eine Überarbeitung der entsprechenden IT-Standards nötig machen.

Bei einer kürzlich vorgestellte Studie von Trend Micro, bei der 600 Firmen mit mindestens 500 Mitarbeitern befragt wurden, ergaben sich größte Bedenken im Hinblick auf persönliche mobile Geräte wie Smartphones und Tablets. Folgende 5 Punkte bezüglich der Unternehmenssicherheit konnten in der Studie identifiziert werden:

Sicherheitsrisiken

Als sicher geltende und einfach zu verwaltende Enterprise-Ready Smartphones gehören der Vergangenheit an. IT-Abteilungen sollten gewissenhaft Kriterien aufstellen und persönliche Geräte akzeptieren, wenn sie Unternehmens-Sicherheitsstandards genügen. Als riskant eingestufte Geräte sollte der System-, Daten- oder Netzwerkzugriff nur eingeschränkt gestattet bzw. verweigert werden.

Datenverlust

Da mobile Geräte schnell verloren gehen oder gestohlen werden können, können diese in falschen Händen ein großes Problem sein. Unternehmen sollten sich darauf vorbereiten und Passwort-Sperren, sichere Verschlüsselung und Fernlösch-Möglichkeiten (Remote Wipe) berücksichtigen und ihre Mitarbeiter anweisen davon auch Gebrauch zu machen. Um auf Nummer sicher zu gehen, bieten sich Mobile-Device-Management-(MDM)-Lösungen an, die eine automatisierte Aktualisierung von Sicherheits-Policies ermöglichen.

Konformität mit den Sicherheitsrichtlinien

Das Sicherstellen der Konformität mit den von der IT-Abteilung definierten Security-Policies kann zu einer Herausforderung werden. Nicht selten kommt es vor, dass Anwender massenweise Software von Drittanbietern auf ihren Geräten installieren und somit möglicherweise Adware oder Malware Tür und Tor öffnen - ein großes Risiko für Firmen-Netzwerk, -Server und -Daten. MDM Tools erleichtern die Einhaltung der unternehmensinternen Sicherheitsstandards durch automatische Überprüfung und Verifizierungsprozesse. Stellt ein MDM Tool fest, dass Geräte nicht mehr konform sind, können diese aus dem Netzwerk ausgeschlossen werden und sozusagen in eine digitale Quarantäne versetzt werden.

Schutz persönlicher Daten

Im Gegenzug machen sich natürlich auch die Mitarbeiter Gedanken über die Integrität ihrer persönlichen Daten wie Fotos, Emails, Musik, Kontaktdaten und Applikationen. Dazu ist es notwendig, dass zwischen geschäftlichen und persönlichen Daten penibel getrennt werden kann. Somit kann die IT-Abteilung die Sicherheit von geschäftskritischen Daten kontrollieren, ohne den persönlichen Informationen zu nahe zu kommen. Zusätzlich können auch die Enterprise-Daten in einen eigens dafür vorgesehenen und verschlüsselten Daten-Container liegen, der sich komplett deaktivieren oder löschen lässt.

Privatsphäre

Wie lassen sich nun die Interessen des Unternehmens und der einzelnen Mitarbeiter zufriedenstellend zusammenführen. Anstatt des lückenlosen Protokollierens persönlicher Kommunikation und permanenten Monitorings sollten die Security-Maßnahmen auf ein gesundes Maß limitiert werden. Da mehr und mehr Unternehmen Cloud-Lösungen, IT Consumerization und BYOD-Konzepte unterstützen, sollten sie die oben genannten Tipps und Präventionsmaßnahmen zwar ernst nehmen, aber sich in der Umsetzung auf die Punkte beschränken, die das spezifische Business erfordert. Sowohl die Geräte als auch die Infrastrukturen und Anforderungen werden sich ohnehin in den nächsten Jahren noch rasant weiterentwickeln.