Die Bedrohung der Schatten-IT

Der Einsatz verschiedener Dienste und Programme, die Ihrer IT- oder Sicherheitsabteilung nicht bekannt sind, kann zu Problemen führen.

Es ist so gut wie unmöglich, eine Auswahl von Software-Tools zu treffen, die jedem gefällt. Mindestens ein Mitarbeiter kennt immer einen kostenlosen Service, der zehnmal besser ist als die Wahl des Unternehmens. Wenn diese eine Person dann damit beginnt, seine persönliche Wahl auch am Arbeitsplatz einzusetzen und diese anderen Mitarbeitern darüber hinaus aktiv empfiehlt, liegt ein Phänomen vor, das auch als sogenannte Schatten-IT bezeichnet wird. Manchmal trägt dieses Phänomen tatsächlich dazu bei, dass Unternehmen eine Lösung finden, die sich den Geschäftsanforderungen deutlich besser anpasst, doch in den meisten Fällen führt es lediglich zu massiven Kopfschmerzen.

Im Idealfall würden Mitarbeiter ihre Ideen zunächst mit der Sicherheitsabteilung teilen. Wir leben jedoch in einer nicht perfekten Welt, und Mitarbeiter nutzen häufig Filesharing-Dienste, Web-E-Mail-Anwendungen, Clients für soziale Netzwerke oder Messenger ohne nachzudenken und denken erst viel später, wenn überhaupt, über die Konsequenzen nach.

Das Problem ist nicht unbedingt, dass das Tool ein neuer kostenloser Instant Messenger sein könnte, der spontan und auf die Schnelle zusammengeschustert wird. Es könnte sich tatsächlich um einen gut etablierten Dienst handeln. Das Problem liegt vielmehr darin, dass weder die Sicherheitsspezialisten in Ihrem Unternehmen noch die IT-Abteilung wissen, was los ist. Das bedeutet, dass die nicht genehmigte App auch nicht in Bedrohungsmodellen für die Infrastruktur, Datenflussdiagrammen und grundlegenden Entscheidungen mit in Betracht gezogen wird. Und das wiederum schreit geradezu nach Ärger.

Wahrscheinlichkeit von Lecks

Jede Anwendung, sei es Cloud-basiert oder lokal gehostet, kann viele subtile Einstellungen aufweisen, die den Datenschutz und die Privatsphäre kontrollieren. Und keineswegs sind alle Mitarbeiter gleichermaßen Software-versiert. Ein offensichtliches Beispiel: ein Mitarbeiter hinterlässt Tabellen mit personenbezogenen Daten ungesichert in Google Documents.

Darüber hinaus können Dienste Schwachstellen aufweisen, die Dritten Zugriff auf Ihre Daten verschaffen. Ihre Entwickler mögen derartige Sicherheitslücken vielleicht umgehend schließen, aber wer stellt in einem solchen Fall sicher, dass Mitarbeiter alle erforderlichen Patches für Client-Apps auch tatsächlich installieren?

Ohne die Beteiligung der IT-Abteilung können Sie nicht sicher sein, ob Ihre Mitarbeiter überhaupt eine Mitteilung über ein verfügbares Update erhalten. Und wer übernimmt die Verantwortung für die Verwaltung von Zugriffsrechten nicht autorisierter Anwendungen und Dienste – beispielsweise durch den Widerruf von Berechtigungen nach der Entlassung oder Kündigung -, wenn ein solches Feature überhaupt zur Verfügung steht? Kurz gesagt: Niemand ist für die Sicherheit von Daten verantwortlich, die mit Diensten übertragen oder verarbeitet werden, die von der IT- oder Sicherheitsabteilung nicht genehmigt wurden.

Verstoß gegen behördliche Auflagen

Heutzutage haben Länder auf der ganzen Welt ihre eigenen Gesetze, die festlegen, wie Unternehmen mit personenbezogenen Daten umgehen sollen. Hinzu kommen die vielen Industriestandards zu diesem Thema.

Unternehmen müssen sich regelmäßigen Audits unterziehen, um die Anforderungen verschiedener Aufsichtsbehörden zu erfüllen. Wenn bei einer Prüfung plötzlich festgestellt wird, dass die persönlichen Daten von Kunden und Mitarbeitern mit unzuverlässigen Diensten verarbeitet werden und die IT-Abteilung dies nicht bemerkt hat, könnte dem Unternehmen eine erhebliche Geldstrafe drohen. Mit anderen Worten: Unternehmen können auch ohne ein eindeutiges Datenleck in Schwierigkeiten geraten.

Unnötige Ausgaben

Der Einsatz eines Alternativtools mag für viele nicht nach einer großen Sache klingen, doch für ein Unternehmen kann dies im Bestfall eine enorme Geldverschwendung bedeuten. Schließlich erwirbt die IT-Abteilung Lizenzen für jedes im Arbeitsfluss integrierte Mitglied. Wenn Mitarbeiter jedoch auf ihre eigenen Tools umsteigen, kann es hier schnell zu unnötigen Ausgaben und Kosten kommen.

Was tun mit Schatten-IT

Schatten-IT muss verwaltet, nicht bekämpft werden. Wenn Sie die Kontrolle behalten, können Sie nicht nur die Datensicherheit in Ihrem Unternehmen verbessern, sondern auch wirklich beliebte und nützliche Tools finden, die unternehmensweit eingesetzt werden können.

Inmitten der derzeitigen Homeoffice-Pandemie, steigen die Risiken, die mit der Verwendung nicht unterstützter Anwendungen und Dienste verbunden sind. Die Mitarbeiter sind gezwungen, sich an neue Bedingungen anzupassen, und versuchen häufig, neue Tools zu finden, die ihrer Meinung nach besser für ihre Telearbeit geeignet sind. Aus diesem Grund haben wir der aktualisierten Version von Kaspersky Endpoint Security Cloud einige zusätzliche Funktionen hinzugefügt, um die Verwendung nicht genehmigter Cloud-Dienste und -Anwendungen zu erkennen.

Darüber hinaus kann Kaspersky Endpoint Security Cloud Plus die Verwendung solcher Dienste und Anwendungen blockieren. Mit dieser Lösungsversion erhält das Unternehmen darüber hinaus Zugriff auf Kaspersky Security for Microsoft Office 365; eine Lösung, die eine zusätzliche Schutzebene für Exchange Online, OneDrive, SharePoint Online und Microsoft Teams bietet.
Auf der offiziellen Website erfahren Sie mehr über unsere Lösung Kaspersky Endpoint Security Cloud.

Tipps