Was ist Schatten-IT?

Wie ist Schatten-IT entstanden?

Vor der Verbreitung von Cloud-Services konnten die User einer Organisation nur auf von der IT bereitgestellte Anwendungen zugreifen, die wiederum für die Beschaffung und Verwaltung von Softwarepaketen für die gesamte Organisation sowie für die Kontrolle von Lizenzen, Software-Updates, Zugriffsrechten und Sicherheitsrichtlinien zuständig war.

Mit der Einführung neuer Technologien für Self-Service-Anwendungen, die durch Cloud- und App-Stores möglich werden, sind User nicht mehr auf Anwendungen beschränkt, die speziell von der IT-Abteilung freigegeben wurden. Stattdessen können sie mit den Tools arbeiten, die ihnen dabei helfen, ihre Aufgaben einfacher oder effizienter zu erledigen.

Warum gibt es Schatten-IT?

Schatten-IT tritt typischerweise dann auf, wenn ein Mitarbeiter eine bevorzugte Methode zur Erledigung einer bestimmten Aufgabe verwenden will. Der Mitarbeiter hat möglicherweise bereits Erfahrung mit einer bestimmten Anwendung oder zieht sie einfach den von der Organisation genehmigten Apps vor. In manchen Fällen hat die Organisation überhaupt keine genehmigte Option in einer App-Kategorie, die der Mitarbeiter benötigt, sei es Messaging, Dateifreigabe (z. B. Dropbox, WhatsApp, Google Drive) oder andere.

Schatten-IT liegt auch vor, wenn ein Mitarbeiter auf eine nicht genehmigte Anwendung zugreift, die von externen Partnern verwendet wird, wie z. B. a: 

• Lieferant
• Technologiepartner
• Vertriebspartner

Und natürlich dienen Schatten-IT-Apps in vielen Fällen einfach nur der Unterhaltung der Mitarbeiter oder anderen privaten Zwecken.

In all diesen Fällen führt die Verwendung nicht genehmigter Anwendungen zu IT-Sicherheitsproblemen, da die IT-Teams keine Einsicht oder Kontrolle über diese Apps haben. Durch den zunehmenden Trend zur Remote-Arbeit wird dieses Problem noch verschärft, da die Mitarbeiter auf ihren privaten Geräten jede beliebige Software verwenden können.

Welche Sicherheitsrisiken birgt Schatten-IT?

Schatten-IT kann zu Cybersicherheitslücken, zum Missbrauch von IT-Ressourcen und zu Produktivitätseinbußen oder gar Cyberangriffen führen. Zu den größten Risiken zählen:

Datenexposition

Schatten-IT ist ein wesentlicher Vektor für Datenschutzverletzungen und Datenverluste. Nicht genehmigte Apps, insbesondere bei Verwendung auf Smartphones oder privaten Laptops, können leicht absichtlich oder versehentlich zur Offenlegung oder unangemessenen Weitergabe vertraulicher Daten führen.

Produktivitätsverlust

Die Verwendung nicht genehmigter Anwendungen (etwa Social-Media-Apps) kann die Zusammenarbeit und Produktivität beeinträchtigen, da sie nicht mit anderen Apps kompatibel sind und Kollegen möglicherweise keinen Zugriff auf die App haben oder nicht wissen, wie sie diese effektiv nutzen können.

Schadprogramm

CIOs und CISOs sind ständig besorgt, dass Malware und Ransomware ins Unternehmensnetzwerk geraten könnten – und Schatten-IT ebnet diesen Bedrohungen oft den Weg. Nicht genehmigte Apps enthalten in vielen Fällen schädliche Dateien, die von ungesicherten Privatgeräten (BYOD) oder von Dritten hochgeladen wurden.

Schwachstellen

Laut ZDNet weisen 60 % der Android-Apps Sicherheitslücken auf, wobei es pro App im Durchschnitt 39 Bugs gibt. In manchen Fällen ermöglichen diese Bugs Angreifern, Geräte heimlich zu kapern und, sobald sie sich im Netzwerk einer Organisation befinden, IT-Systeme zu infizieren und vertrauliche Daten zu stehlen.

Nichteinhaltung

Durch Verwendung von Schatten-IT kann es passieren, dass regulierte Informationen an Orte in der Cloud verschoben werden, die für die IT-Abteilung nicht sichtbar oder sicher sind. Dies kann zu Compliance-Problemen im Zusammenhang mit Vorschriften wie der DSGVO führen und Geldbußen sowie einen Vertrauensverlust zur Folge haben.

Vergrößerte Angriffsfläche

Wenn ein Mitarbeiter eine Anwendung ohne Rücksprache mit der IT-Abteilung nutzt, setzt er das Unternehmen einem erhöhten Angriffsrisiko aus. Die Daten, die zu und von den betreffenden Schatten-IT-Anwendungen oder -Software fließen, sind nicht an die grundlegende IT-Infrastruktur gebunden und daher anfällig.

Wie kontrollieren Sie Schatten-IT?

Die IT-Abteilung muss zunächst alle nicht genehmigten Anwendungen ermitteln, die in der gesamten verteilten Organisation ausgeführt werden, und dann einen Cloud Access Security Broker (CASB) implementieren.

Ein CASB bietet einen enormen Sicherheitswert, wenn es um die Blockierung von Schatten-IT auf Führungsebene geht. CASBs:

• Nehmen Protokolle und Workflows von Netzwerkgeräten wie Firewalls und Proxys auf
• Durchsuchen diese Protokolle und Workflows nach Apps
• Geben detailliert Auskunft über die Sicherheitsattribute der entdeckten Anwendungen sowie über ggf. erforderliche zusätzliche Sicherheitsmaßnahmen

Die IT-Abteilung kann sich dafür entscheiden, bestimmte nicht genehmigte Anwendungen unter bestimmten Bedingungen zuzulassen – etwa wenn bestimmte User auf sie zugreifen –, während andere Anwendungen komplett verboten werden. Eine effektive Lösung zur Erkennung und Verwaltung von Schatten-IT stellt differenzierte Optionen für den Umgang mit nicht genehmigten Anwendungen bereit.

Viele vermeintlich cloudnative CASBs sind nichts weiter als virtuelle Maschinen, die an veraltete Sicherheitsgeräte angeschlossen sind. Zscaler entwickelt als einziger Anbieter von Sicherheitsdiensten seine Produkte in der Cloud, für die Cloud, sodass Sie die Risiken von Schatten-IT eliminieren und Ihren Sicherheitsstatus stärken können.

Eliminierung des Schatten-IT-Risikos mit Zscaler

Zscaler CASB ist eine vollständig integrierte Lösung, die die Erkennung von Schatten-IT automatisiert, ohne dass Administratoren manuell Protokolle von Netzwerkgeräten hochladen müssen. Sie gewährleistet lückenlose Transparenz sowohl innerhalb als auch außerhalb des Netzwerks, sodass IT-Teams die lückenlose Übersicht haben, die sie benötigen, um alle möglicherweise verwendeten Schatten-IT-Ressourcen zu identifizieren. Zscaler verfügt über einen Katalog mit mehr als 8.500 Apps, die alle anhand von 25 Risikoattributen geprüft werden, um ihre Vertrauenswürdigkeit im Detail nachzuweisen.

Zscaler CASB bietet u. a. folgende Vorteile:

• Granulare Data Protection: Verhindert böswillige und versehentliche Datenverluste in cloudbasierten und anderen IT-Ressourcen
• Vollständiger Schutz vor Bedrohungen: Stoppt die Ausbreitung von Bedrohungen wie Ransomware in Clouds und auf Endgeräten.
• Umfassende Transparenz: Detaillierte Protokollierung und Berichterstattung für einen lückenlosen Überblick über alle Cloud-Daten.
• Einheitliche Compliance: Liefert umfassenden Einblick in die Compliance und Sicherheit für alle SaaS-Anwendungen.

Der Zscaler CASB kann den Zugriff auf riskante Anwendungen automatisch blockieren. Alternativ stellt er jedoch auch differenzierte Optionen bereit, mit denen sich verhindern lässt, dass die Produktivität der User unnötig beeinträchtigt wird. So kann Zscaler etwa schreibgeschützten Zugriff auf nicht genehmigte Anwendungen gewähren, um das Hochladen von Daten zu verhindern und Datenlecks zu stoppen, sowie Einschränkungen für die Nutzung durch Mitarbeiter festlegen, indem Kontingente für Bandbreitennutzung und zeitliche Begrenzungen durchgesetzt werden.

Möchten Sie mehr darüber erfahren, wie Zscaler Ihr Unternehmen vor den Risiken von Schatten-IT schützt? Entdecken Sie unser ausgedehntes Partnernetzwerk – darunter Microsoft, ServiceNow, Google und weitere – und sehen Sie, wie wir branchenführende SaaS- und Cloud-Sicherheit bereitstellen.

Erfahren Sie, wie Sie mit Zscaler Data Protection Schatten-IT erkennen und die Datensicherheit verbessern können, während Organisationen gleichzeitig eine BYOD-Richtlinie (Bring Your Own Device) nutzen können.