Als Schatten-IT wird jede Software, Hardware oder IT-Ressource bezeichnet, die in einem Unternehmensnetz ohne Genehmigung der IT-Abteilung und oft auch ohne deren Wissen oder Aufsicht verwendet wird. Die gemeinsame Nutzung von Arbeitsdateien in einem persönlichen Dropbox-Konto oder auf einem USB-Laufwerk, Meetings über Skype, wenn das Unternehmen WebEx verwendet, das Starten einer Slack-Gruppe ohne Zustimmung der IT-Abteilung - all dies sind Beispiele für Schatten-IT.
Schatten-IT umfasst keine Malware oder andere bösartige, von Hackern eingeschleuste Ressourcen. Sie bezieht sich nur auf nicht genehmigte Ressourcen, die von den autorisierten Endbenutzern des jeweiligen Netzes verwendet werden.
In der Regel nutzen Endbenutzer und Teams die Schatten-IT, weil sie sie sofort einsetzen können, ohne auf die Genehmigung der IT-Abteilung warten zu müssen, oder weil sie der Meinung sind, dass diese Software für ihre Zwecke bessere Leistungsmerkmale bietet als die alternative IT-Lösung. Doch ungeachtet dieser Vorteile kann die Schatten-IT erhebliche Sicherheitsrisiken mit sich bringen. Da das IT-Team über die Verwendung der Schatten-IT keine Kenntnis hat, überwacht es diese Systeme nicht und kümmert sich deswegen auch nicht um die Schwachstellen dieser Systeme. Hacker können die Verwendung von Schatten-IT besonders leicht ausnutzen. Laut dem Bericht State of Attack Surface Management 2022 (Stand des Angriffsflächenmanagements) von Randori wurden fast 7 von 10 Unternehmen im letzten Jahr durch Schatten-IT kompromittiert.
Laut Cisco verwenden 80 Prozent der Mitarbeiter von Unternehmen Schatten-IT. Einzelne Mitarbeiter setzen Schatten-IT oft aus Gründen der Bequemlichkeit und Produktivität ein. Sie sind der Meinung, dass sie effizienter oder effektiver arbeiten können, wenn sie ihre persönlichen Geräte und ihre bevorzugte Software anstelle der vom Unternehmen genehmigten IT-Ressourcen verwenden.
Dies verstärkte sich noch mit der zunehmenden Konsumerisierung der IT und in jüngster Zeit auch mit der Zunahme der Telearbeit. Software-as-a-Service (SaaS) ermöglicht es jedem, der über eine Kreditkarte und ein Minimum an technischem Wissen verfügt, hochentwickelte IT-Systeme für die Zusammenarbeit, das Projektmanagement, die Erstellung von Inhalten und vieles mehr einzusetzen. Die BYOD-Richtlinien (Bring Your Own Device) von Unternehmen gestatten ihren Mitarbeitern, ihre eigenen Computer und Mobilgeräte in Unternehmensnetzen zu nutzen. Aber selbst wenn ein formelles BYOD-Programm im Unternehmen eingeführt wurde, haben IT-Teams oft keinen Überblick über die Software und Services, die Mitarbeiter auf ihrer BYOD-Hardware verwenden. Es kann daher schwierig sein, IT-Sicherheitsrichtlinien für die persönlichen Geräte der Mitarbeiter durchzusetzen.
Schatten-IT ist jedoch nicht immer nur das Ergebnis der Aktivitäten einzelner Mitarbeiter. Schatten-IT-Anwendungen werden auch von Teams genutzt. Laut Gartner werden 38 Prozent der technologischen Anschaffungen von der Geschäftsleitung und nicht von der IT-Abteilung verwaltet, definiert und kontrolliert. Teams möchten neue Cloud-Services, SaaS-Anwendungen und andere Informationstechnologien einführen, haben jedoch oft das Gefühl, dass die von der IT-Abteilung und dem CIO durchgeführten Beschaffungsprozesse zu aufwändig oder zu langsam sind. Also umgehen sie die IT-Abteilung, um die neue Technologie zu beschaffen, die sie sich wünschen. Ein Softwareentwicklungsteam könnte beispielsweise eine neue integrierte Entwicklungsumgebung (IDE) einführen, ohne die IT-Abteilung zu konsultieren, weil das förmliche Genehmigungsverfahren die Entwicklung verzögern und das Unternehmen dadurch eine Marktchance verpassen würde.
Nicht genehmigte Software, Anwendungen und Services von Drittanbietern sind die vielleicht am weitesten verbreitete Form der Schatten-IT. Einige Beispiele umfassen:
Produktivitäts-Apps wie Trello und Asana
Cloudspeicher-, Dateifreigabe- und Dokumentenbearbeitungsanwendungen wie Dropbox, Google Docs, Google Drive und Microsoft OneDrive
Kommunikations- und Messaging -Apps einschließlich Skype, Slack, WhatsApp, Zoom, Signal, Telegram sowie persönliche E-Mail-Konten
Diese Cloud-Services und SaaS-Angebote sind oft leicht zugänglich. Sie sind intuitiv zu bedienen und kostenlos oder sehr preiswert erhältlich, so dass Teams sie bei Bedarf schnell einsetzen können. Oftmals bringen Mitarbeiter diese Schatten-IT-Anwendungen mit an den Arbeitsplatz, weil sie sie bereits privat nutzen. Mitarbeiter können auch von Kunden, Partnern oder Serviceanbietern eingeladen werden, diese Services zu nutzen. Es ist beispielsweise nicht ungewöhnlich, dass Mitarbeiter die Produktivitäts-Apps von Kunden nutzen, um gemeinsam an Projekten zu arbeiten.
Die persönlichen Geräte der Mitarbeiter - Smartphones, Laptops und Speichergeräte wie USB-Laufwerke und externe Festplatten - sind eine weitere häufige Quelle von Schatten-IT. Mitarbeiter können ihre Geräte für den Fernzugriff, die Speicherung oder die Übertragung von Netzressourcen verwenden. Ebenso können sie diese Geräte im Rahmen eines offiziellen BYOD-Programms vor Ort verwenden. In jedem Fall ist es für IT-Abteilungen oft schwierig, diese Geräte mit den traditionellen Asset-Management-Systemen zu erkennen, zu überwachen und zu verwalten.
Während Mitarbeiter Schatten-IT in der Regel wegen ihrer vermeintlichen Vorteile einsetzen, stellen Schatten-IT-Assets potenzielle Sicherheitsrisiken für Unternehmen dar. Diese Risiken umfassen:
Probleme mit der Compliance: Vorschriften wie der Health Insurance Portability and Accountability Act (HIPAA), der Payment Card Industry Data Security Standard (PCI DSS) und die Datenschutz-Grundverordnung (DSGVO) stellen strenge Anforderungen an die Verarbeitung personenbezogener Daten (PII). Schatten-IT-Lösungen, die von Mitarbeitern und Abteilungen ohne Compliance-Know-how entwickelt wurden, erfüllen diese Datensicherheitsstandards möglicherweise nicht. Dies könnte zu Geldstrafen oder rechtlichen Schritten gegen ihr Unternehmen führen.
Ineffizienzen im Unternehmen: Schatten-IT-Anwendungen lassen sich möglicherweise nicht ohne Weiteres in die genehmigte IT-Infrastruktur integrieren. Sie behindern Arbeitsabläufe, die auf gemeinsam genutzte Informationen oder Ressourcen angewiesen sind. Es ist unwahrscheinlich, dass das IT-Team bei der Einführung von neuen genehmigten Assets oder der Bereitstellung von IT-Infrastruktur für eine bestimmte Abteilung Schatten-IT-Ressourcen berücksichtigt. Infolgedessen kann die IT-Abteilung Änderungen am Netz oder an den Netzressourcen vornehmen, die die Funktionalität der IT-Schattenressourcen, auf die sich die Teams verlassen, beeinträchtigen.
In der Vergangenheit haben Unternehmen oft versucht, diese Risiken durch ein vollständiges Verbot der Schatten-IT zu mindern. IT-Führungskräfte haben jedoch zunehmend akzeptiert, dass Schatten-IT unvermeidlich ist. Viele von ihnen haben inzwischen die geschäftlichen Vorteile der Schatten-IT erkannt. Diese Vorteile umfassen:
Ermöglichung von mehr Handlungsspielraum als Reaktion der Teams auf Veränderungen in der Unternehmenslandschaft und auf die Entwicklung neuer Technologien
Ermöglichung des Einsatzes der besten Tools für die jeweiligen Tasks
Rationalisierung des IT-Betriebs durch Verringerung der für die Beschaffung neuer IT-Ressourcen erforderlichen Kosten und Ressourcen
Um die Risiken der Schatten-IT zu mindern und ohne auf diese Vorteile zu verzichten, versuchen viele Unternehmen nun, die Schatten-IT mit den Standard-IT-Sicherheitsprotokollen in Einklang zu bringen, anstatt sie gänzlich zu untersagen. Zu diesem Zweck implementieren IT-Teams häufig Cybersecurity-Technologien wie ASM-Tools (Attack Surface Management), die die dem Internet zugewandten IT-Ressourcen eines Unternehmens kontinuierlich überwachen, um Schatten-IT zu erkennen und zu identifizieren, sobald sie eingesetzt wird. Diese Schatten-Assets können dann auf Schwachstellen untersucht und ihre Schwachstellen bewertet und behoben werden.
Unternehmen können auch die Software Cloud Asset Security Broker (CASB) einsetzen, die sichere Connections zwischen Mitarbeitern und allen von ihnen genutzten Cloud-Assets, einschließlich bekannter und unbekannter Assets, gewährleistet. CASB kann Schatten-Cloud-Services aufspüren und sie Sicherheitsmaßnahmen wie Verschlüsselung, Richtlinien für die Zugriffssteuerung und Malware-Erkennung unterwerfen.
IBM Security® bietet Cybersicherheitslösungen für Unternehmen, damit Sie auch in Zeiten der Unsicherheit erfolgreich sein können.
Schützen Sie Unternehmensdaten über mehrere Umgebungen hinweg, erfüllen Sie Datenschutzbestimmungen und vereinfachen Sie die Komplexität Ihres Betriebs.
Zur Durchführung eines zusammenhängenden Hybrid-Multi-Cloud-Sicherheitsprogramms müssen Sie für Transparenz sorgen und entsprechende Kontrollmechanismen nutzen. Produkte von IBM Security und ihre Experten unterstützen Sie bei der Integration geeigneter Kontrollmechanismen, der Orchestrierung der Bereitstellung der Workload und der Einrichtung eines effektiven Sicherheitsbedrohungsmanagements.
Cybersicherheitstechnologien und bewährte Verfahren schützen kritische Systeme und vertrauliche Informationen vor einer ständig wachsenden Zahl von Bedrohungen, die sich ständig weiterentwickeln.
Angriffsflächenmanagement hilft Unternehmen, Schwachstellen für Cyberangriffe zu erkennen, zu priorisieren und zu korrigieren.
ITAM stellt sicher, dass jedes Asset ordnungsgemäß genutzt, gewartet, aufgerüstet und am Ende seines Lebenszyklus entsorgt wird.