Cybersecurity

Schatten-IT: Was ist das – und warum ist es gefährlich?

Wenn Mitarbeiterinnen und Mitarbeiter mit Geräten und Programmen arbeiten, die nicht von der Firmen-IT authorisiert wurden oder gewartet werden, kann der Einsatz einer solchen Schatten-IT für den Arbeitgeber existenzbedrohende Folgen haben. 

Der Oktober gilt EU-weit als „European Cybersecurity Month“ (kurz: #CyberSecMonth) und wird auch bei ERGO mit Aufklärungs- und Schulungsangeboten begleitet. Anlass genug für //next, uns nach dem Interview mit dem Cyber-Experten Maximilian Lipa sowie einer Warnung vor den meistgenutzten (und zu simplen!) Passwörtern 2021 nun mit dem Phänomen der „Schatten-IT“ und ihren Schattenseiten (sprich: Risiken!) zu beschäftigen. 

Kürzlich wurde eine Großbank in den USA von zwei Aufsichtsbehörden zu einer Geldstrafe in Höhe von 200 Millionen Dollar verurteilt, weil sie geduldet hatte, dass Mitarbeitende sensible Unternehmens- und Kundendaten über private Geräte und (Messenger-)Apps verarbeiteten und übermittelten. Eine äußerst leichtsinnige Praxis, die selbst in der Compliance-Abteilung verbreitet war. Zusätzlich zu der Tatsache, dass sensible Unternehmensdaten sich auf privaten Geräten nicht ausreichend schützen lassen, kommen bei solchen Unsitten auch die gesetzlichen Aufbewahrungsfristen zu kurz.

Was sind die Motive?

Der Fall aus den USA verdeutlicht einmal mehr, wie allgegenwärtig und weitverbreitet unsere persönlichen Gadgets und Nutzungsgewohnheiten bereits sind – und wie sehr die Grenze zwischen Arbeit und Freizeit immer mehr verschwimmt. 

Häufig greifen Angestellte auf nicht genehmigte Hard- und Software zurück, weil sie mehr leisten als die authorisierten Möglichkeiten – oder schlichtweg bequemer sind. Sei es aufgrund von Stress und Überlastung, aus Scheu vor umständlichen Beschaffungsprozessen oder durch Budget-Engpässe: Für viele Mitarbeiterinnen und Mitarbeiter ist es verlockend, einfach ohne viel nachzudenken auf jene Geräte und Programme zurückzugreifen, die sie ohnehin privat ständig nutzen. Doch für ihr Unternehmen ist das hochgefährlich, und zwar in gleich mehreren Dimensionen:
 

#Rechtmäßigkeit: Die leichtsinnigen Nutzerinnen und Nutzer von Schatten-IT haben möglicherweise nicht mal das Recht, die verwendete Software oder, in manchen Fällen, die verwendete Hardware zu nutzen! Es gibt zahlreiche Anwendungen, für deren Nutzung eine Lizenz erforderlich ist – und es besteht zusätzlich auch immer das Risiko, dass die Nutzer:innen ein Gerät gekauft haben, das nicht den gesetzlichen Anforderungen entspricht. Schwarzmarkt-Tools und -Gadgets sind überall auf der Welt erhältlich, und möglicherweise handelt es sich dabei nicht um authentische Produkte.

#Speicherort: Bitte überlegt stets, wohin die Daten gehen, sobald Ihr auf <Absenden> drückt. Werden sie in einem Land gespeichert, das ein Interesse an diesen Daten haben könnte? Es gibt Länder, die aktiv versuchen, Daten zu sammeln und die Daten, auf die sie Zugriff haben, routinemäßig überprüfen, um zu sehen, ob es darunter welche gibt, die ihren Interessen dienen können. Sensible Unternehmensdaten könnten gut zu den Zielen dieser Länder passen!

#Zugriff: Genauso wenig, wie Ihr vielleicht nicht wisst, wo Eure Daten gespeichert sind, habt Ihr vielleicht auch keinen Überblick darüber, wer alles Zugriff auf Eure Daten haben könnte. Hätte die Person, die darauf zugreift, ein Interesse an diesen Daten? Könnten diese Informationen für ein anderes Unternehmen von Wert sein, so dass die Person, die auf sie zugreift, sie an Dritte verkaufen könnte?

#Schadsoftware: Da die Software oder Hardware aus Sicht der Informationssicherheit nicht richtig bewertet wurde, ist es unmöglich zu wissen, ob sie Sicherheitslücken aufweist, die das Einschleusen von bösartigem Code ermöglicht. Wenn es eine Verbindung zwischen dem Unternehmensnetzwerk und dem Gerät gibt, besteht die Möglichkeit, dass Malware in Euer Firmennetzwerk gelangt!

#Updates: Patches zur Behebung von Sicherheitslücken in Software oder Updates für Software und Hardware werden für nicht unterstützte Schatten-IT nicht durchgeführt. Das bedeutet, dass Schwachstellen nicht entschärft werden und somit die Möglichkeit besteht, dass die Schwachstellen ausgenutzt werden.

#Support: Es liegt auf der Hand, dass sich nicht zugelassene Software oder Hardware von der Unternehmens-IT nicht unterstützen, warten oder überwachen lässt. Wenn etwas mit der Anwendung passiert und Hilfe benötigt wird, ist diese nicht verfügbar. Genau wie fehlende Patches zur Einschleusung von Malware führen können, kann auch mangelnder Support ein Grund dafür sein, dass sich Sicherheitslücken nicht rechtzeitig schließen lassen. 

#Interoperabilität: Bevor neue Tools und Anwendungen in das Unternehmensnetzwerk aufgenommen werden, wird genau geprüft, wie sie mit den anderen, bereits im Netzwerk vorhandenen Anwendungen zusammenarbeiten. Geschieht dies nicht, weil Schatten-IT zum Einsatz kommt, kann dies empfindliche Störungen des Netzwerks verursachen – bis hin zum Ausfall von kritischen Elementen der Infrastruktur. 

Fazit: Schatten-IT ist eine ernsthafte Bedrohung

Ihr seht: Wenn Ihr als Nutzerin oder Nutzer nicht zugelassene Software oder Hardware zum Einsatz bringt, bringt Ihr ernsthafte Risiken in Eure Organisation. Wenn Ihr also zusätzliche Tools oder Geräte nutzen möchtet, beantragt diese bitte offiziell. Möglicherweise kann Euer IT-Team dem Wunsch nach einem bestimmten Produkt nicht nachkommen – doch die Kolleginnen und Kollegen werden versuchen, eine Alternative bereitzustellen, die Euren Bedürfnissen gerecht wird. Gemeinsam solltet Ihr dafür sorgen, dass es in Eurer Organisation keine Schatten-IT gibt.

Text: Jason Geiger