Schatten-IT – die versteckte Gefahr für Unternehmensdaten

Smartphone, Fitnessuhr und intelligente Kaffeemaschine sind schnell im firmeneigenen W-LAN angemeldet. Cloud-Dienste lassen sich gut nutzen, um größere Datenmengen unkompliziert zu übertragen. Dieses Verhalten kann jedoch enorme Risiken für die Datensicherheit von Unternehmen bergen.

 

 

Was versteht man unter Schatten-IT?

Unter Schatten-IT versteht man Programme oder private Geräte, die Mitarbeiter im Zusammenhang mit Firmen-Daten inoffiziell nutzen. Inoffiziell bedeutet, dass die Technik eingesetzt wird, ohne sich mit einer verantwortlichen Person – wie dem Geschäftsführer oder IT-Verantwortlichen – darüber abzustimmen. Ein gutes Beispiel sind Cloud-Dienste. Häufig sind Datei-Anhänge zu groß, um diese per E-Mail zu verschicken. Nutzt ein Mitarbeiter nun ohne Erlaubnis einen Cloud-Dienst, um Firmeninformationen auf ein anderes Gerät zu übertragen, so handelt es sich um den Einsatz von Schatten-IT. Ebenso wenn er ohne Genehmigung seinen privaten Laptop mit dem firmeneigenen W-LAN verbindet.

In einer Umfrage des IT-Sicherheitsunternehmens Infoblox zu Beginn des Jahres, wurde deutlich, dass sich in Deutschland täglich eine Vielzahl privater Geräte mit Unternehmensnetzwerken verbinden. Ein Drittel der Unternehmen gab an, dass sich täglich über 1.000 Schatten-Geräte in ihrem Netzwerk anmelden.

Warum wird sie eingesetzt?

Die meisten Mitarbeiter handeln erfahrungsgemäß nicht aus böser Absicht, sondern aus Unwissenheit, Nutzerakzeptanz und Bequemlichkeit.

Unwissenheit

Kaum jemand erwartet ein Sicherheitsrisiko, wenn er die intelligente Kaffeemaschine mit dem Firmennetzwerk verbindet. Sie wird schlichtweg nicht als Computer wahrgenommen. Ähnliches ist bei der Nutzung von Programmen oder Apps zu beobachten, die man im Alltag einsetzt. Menschen sind so gewöhnt an deren Gebrauch, dass die Sicherheit der Anwendung im beruflichen Kontext nicht mehr in Frage gestellt wird.

Nutzerakzeptanz

Ein Computerprogramm oder eine App installieren sich die Mitarbeiter vor allem auf dem Diensthandy, weil Sie von deren Vorteil im Arbeitsalltag überzeugt sind. Ein gutes Beispiel ist die Projektleitung: Hier wird oft noch mit Excel-Tabellen gearbeitet. Mitarbeiter laden sich daher häufig Programme, die sie aus ihrem Privatleben kennen, deren Nutzung ihnen Spaß macht und die sie intuitiv bedienen können.

Bequemlichkeit

Auch Bequemlichkeit spielt eine große Rolle. Private Geräte werden häufig mit dem Unternehmensnetzwerk verbunden, weil man so nicht das eigene Datenvolumen opfern muss oder das Firmen-W-LAN schneller ist. Mit Trends wie der Nutzung privater Endgeräte für berufliche Zwecke (Bring Your Own Device) tragen auch Unternehmen zu einem erhöhten Risiko bei. Indem die Mitarbeiter eigene Laptops, Tablets oder Telefone nutzen spart der Betrieb zwar Geld, welche Programme auf den Geräten installiert sind und ob Daten ausreichend gesichert werden, darüber geben sie jedoch die Kontrolle ab.

Was ist so gefährlich an Schatten-Geräten?

Das Problem an der Nutzung von Schatten-IT lässt sich relativ leicht zusammenfassen: Was du nicht kennst, kannst du nicht sichern. Jedes Gerät, jedes Programm stellt ein mögliches Sicherheitsrisiko für Unternehmensdaten dar. Wenn die Verantwortlichen nicht von ihrer Existenz wissen, können sie nicht die notwendigen sicherheits- oder datenschutzrelevanten Vorkehrungen treffen. So können Mitarbeiter beispielsweise nicht für die spezifische Gefahren der einzelnen Technik sensibilisiert werden, Datenschutzeinstellungen werden nicht gesetzt und Sicherheitsprogramme wie Firewall nicht oder nur unzureichend eingerichtet. Mit mehr Programmen und Geräten erhöht sich außerdem die Angriffsfläche für Cyberkriminelle.

Jede Form von Schatten-IT beinhaltet dabei ihre ganz eigenen Gefahren. Die häufigsten haben wir für Sie zusammengestellt:

1. Herunterladen von Anwendungen auf den Firmen-Computer oder Diensttelefon

Wenn Sie sich eine App herunterladen, werden Sie meist um zahlreiche Berechtigungen gebeten: Zugriff auf das Adressbuch, Fotos, Dokumente, Mikrofon und vieles mehr. Genau hier sollte ein Experte prüfen, ob ein externes Unternehmen Zugriff auf all diese Daten erhalten sollte. Außerdem sollte der Sicherheitsstatus des Programms eingeschätzt werden. Erfolgt das nicht, laden Sie schlimmstenfalls ein Schadprogramm herunter oder lassen zu, dass Unternehmensdaten ausspioniert werden. Denn auch auf dem Diensthandy können sich vertrauliche E-Mails oder sensible Daten wie Kontoinformationen befinden.

2. Verbinden von intelligenten Geräten mit dem Firmennetzwerk

Ist ein privates Gerät mit Viren- oder Spionageprogrammen infiziert, dann stellt es im Firmennetzwerk auch eine Gefahr für die Datensicherheit des Unternehmens dar. Ganz zu schweigen davon, dass sich die Nutzung privater Geräte negativ auf die Bandbreite auswirken kann.

3. Nutzung von Cloud-Diensten

Bei den zuvor genannten Beispielen kann ein Verantwortlicher die Aktivitäten früher oder später im Netzwerk oder auf den Firmengeräten bemerken. Das gefährliche an Cloud-Diensten ist jedoch, dass Unternehmensdaten vollkommen unbemerkt abfließen können. Unabhängig vom Ort kann  mit dienstlichen und privaten Geräten auf sämtliche Daten in der Cloud zugegriffen werden.

 

Wie sollte ein Unternehmen mit dieser Gefahr umgehen?

Verwenden von IT-Produkten mit hoher Nutzer-Akzeptanz unter den Mitarbeitern, um Einsatz von Schatten-IT vorzubeugen.

Wenn Mitarbeiter bestimmte Programme ungern verwenden, dann liegt es meist daran, dass diese nicht besonders nutzerfreundlich gestaltet sind. Lassen Sie sich von den Vorlieben und Produktideen ihrer Mitarbeiter inspirieren und sträuben Sie sich nicht gegen Neuerungen – solange diese Ihre betriebsinternen Sicherheitskriterien erfüllen. An dieser Stelle sollte die IT-Abteilung eher als Dienstleister für den Mitarbeiter verstanden werden. Wenn Mitarbeiter Programme und Geräte gern nutzen, wird sich das positiv auf ihre Arbeit auswirken und eine Nutzung von Schatten-IT überflüssig machen.

Sensibilisierung

Gerade weil Schatten-IT nicht immer offensichtlich ist und selten als Gefahr wahrgenommen wird ist es wichtig

  • Mitarbeiter darüber aufzuklären, was Schatten-IT ist (private Geräte, firmenfremde Programme oder Apps) und

  • welche spezifischen Gefahren damit verbunden sind.
     

Richtlinien

Es ist außerdem hilfreich, Richtlinien für die Nutzung privater Geräte und neuer Programme im Unternehmen festzulegen. Die Nutzung von aktuellen Antiviren-Programmen – auch für das Handy – kann auf diesem Weg ebenfalls zur Pflicht gemacht werden.

Zugang zum Netzwerk für private Geräte einschränken

Eine weitere Lösung ist die Einschränkung des Netzwerks für private Geräte. Diese können sich dann gar nicht mehr verbinden oder lediglich mit einem Gäste-Netzwerk, das vom restlichen Firmennetz getrennt ist.

Zugang zu bestimmten Seiten einschränken

Auch der Zugang zu riskanten Seiten kann beschränkt werden. Möchte ein Unternehmen nicht, dass bestimmte Dienste wie Clouds genutzt werden, dann können die Seiten der Dienste auf den Firmengeräten gesperrt werden.

Installation von firmenfremden Programmen verhindern

Ähnlich gestaltet es sich mit der Installation fremder Programme. Der IT-Verantwortliche kann Computer und Co so einrichten, dass der normale MItarbeiter nicht dazu berechtigt ist, neue Programme herunterladen.

Teilen:

Schluss mit lustig - Hackern die rote Karte zeigen!

Investieren Sie Ihre Gewinne in Ihr Unternehmen, anstatt in Bußgelder – schützen Sie sich jetzt mit Perseus!

Für Perseus Basis anmelden