Was ist Schatten-IT?

Beispiele für Schatten-IT sind das Teilen von Arbeitsdateien in einem persönlichen Cloud-Speicherkonto, das Durchführen von Meetings über eine nicht autorisierte Videokonferenzplattform, wenn das Unternehmen einen anderen genehmigten Dienst verwendet, oder das Erstellen eines inoffiziellen Gruppenchats ohne Genehmigung der IT-Abteilung.

Schatten-IT umfasst keine Malware oder andere schädliche Assets, die von Hackern eingeschleust werden. Sie bezieht sich nur auf nicht bereitgestellte Assets, die von den autorisierten Endnutzern des Netzwerks eingesetzt werden.

Endbenutzer und Teams entscheiden sich in der Regel für eine Schatten-IT, weil sie diese ohne Genehmigung der IT-Abteilung nutzen können oder weil sie der Meinung sind, dass sie für ihre Zwecke besser geeignet ist als die IT-Alternativen. Trotz dieser Vorteile kann die Schatten-IT jedoch erhebliche Sicherheitsrisiken bergen. Da das IT-Team nichts von der Schatten-IT weiß, werden diese Assets nicht überwacht und ihre Schwachstellen nicht behoben. Die Schatten-IT ist besonders anfällig für Hackerangriffe. 

Laut Cisco nutzen 80 % der Mitarbeiter von Unternehmen Schatten-IT. Einzelne Mitarbeiter nutzen Schatten-IT oft aus Bequemlichkeits- und Produktivitätsgründen – sie sind der Meinung, dass sie mit ihren persönlichen Geräten und bevorzugten Softwareprogrammen effizienter und effektiver arbeiten können als mit den vom Unternehmen genehmigten IT-Ressourcen. Eine andere Studie, die vom IBM Institute for Business Value zitiert wurde, ergab, dass 41 % der Mitarbeiter Technologie ohne das Wissen ihres IT-/IS-Teams erworben, geändert oder entwickelt haben. 

Dies hat sich mit der Verbreitung von IT-Geräten und jüngst mit dem Aufkommen der Remote-Arbeit noch verstärkt. Software-as-a-Service (SaaS) ermöglicht es jedem, der eine Kreditkarte und ein Mindestmaß an technischem Wissen besitzt, komplexe IT-Systeme für die Zusammenarbeit, das Projektmanagement, die Erstellung von Inhalten und vieles mehr einzusetzen. Die BYOD (Bring Your Own Device)-Richtlinien von Unternehmen erlauben es Mitarbeitern, ihre eigenen Computer und Mobilgeräte im Unternehmensnetzwerk zu verwenden. Aber selbst mit einem formellen BYOD-Programm haben IT-Teams oft keinen Einblick in die Software und Dienste, die Mitarbeiter auf der BYOD-Hardware nutzen, und es kann schwierig sein, IT-Sicherheitsrichtlinien auf den persönlichen Geräten der Mitarbeiter durchzusetzen.

Aber Schatten-IT ist nicht immer das Ergebnis von Mitarbeitern, die allein handeln – Schatten-IT-Anwendungen werden auch von Teams übernommen. Laut Gartner werden 38 % der Technologiekäufe von Geschäftsführern und nicht von IT-Mitarbeitern verwaltet, definiert und kontrolliert. Teams möchten neue Cloud-Services, SaaS-Anwendungen und andere Informationstechnologien einführen, empfinden die von der IT-Abteilung und dem CIO implementierten Beschaffungsprozesse jedoch oft als zu aufwändig oder langsam. Sie umgehen also die IT, um an die neue Technologie zu gelangen, die sie wollen. Beispielsweise könnte ein Softwareentwicklungsteam eine neue integrierte Entwicklungsumgebung einführen, ohne die IT-Abteilung zu konsultieren, da der formale Genehmigungsprozess die Entwicklung verzögern und das Unternehmen eine Marktchance verpassen würde.

Nicht genehmigte Software, Apps und Services von Drittanbietern sind vielleicht die am weitesten verbreitete Form der Schatten-IT. Gängige Beispiele sind:

• Produktivitäts-Apps wie Trello und Asana
   

• Cloud-Speicher, Dateifreigabe und Anwendungen zur Dokumentbearbeitung wie Dropbox, Google Docs, Google Drive und Microsoft OneDrive
   

• Kommunikations- und Messaging-Apps wie Skype, Slack, WhatsApp, Zoom, Signal, Telegram und persönliche E-Mail-Konten

Diese Cloud-Services und SaaS-Angebote sind oft leicht zugänglich, intuitiv zu bedienen und kostenlos oder zu sehr geringen Kosten erhältlich, sodass Teams sie bei Bedarf schnell bereitstellen können. Oft bringen Mitarbeiter diese Schatten-IT-Anwendungen mit an den Arbeitsplatz, weil sie sie bereits privat nutzen. Mitarbeiter können auch von Kunden, Partnern oder Dienstleistern zur Nutzung dieser Dienste eingeladen werden – so ist es beispielsweise nicht ungewöhnlich, dass Mitarbeiter Produktivitäts-Apps von Kunden nutzen, um gemeinsam an Projekten zu arbeiten.

Die persönlichen Geräte der Mitarbeiter – Smartphones, Laptops und Speichergeräte wie USB-Sticks und externe Festplatten – sind eine weitere häufige Quelle von Schatten-IT. Mitarbeiter können ihre Geräte verwenden, um auf Netzwerkressourcen zuzugreifen, diese zu speichern oder zu übertragen, oder sie können diese Geräte lokal im Rahmen eines formellen BYOD-Programms verwenden. In beiden Fällen ist es für IT-Abteilungen oft schwierig, diese Geräte mit herkömmlichen Asset-Management-Systemen zu erkennen, zu überwachen und zu verwalten.

Während Mitarbeiter in der Regel Schatten-IT wegen vermeintlicher Vorteile nutzen, stellen Schatten-IT-Assets potenzielle Sicherheitsrisiken für das Unternehmen dar. Zu diesen Risiken gehören:

Da das IT-Team in der Regel keine Kenntnis von bestimmten Schatten-IT-Assets hat, werden Sicherheitslücken in diesen Assets nicht behoben. Endbenutzer oder Abteilungsteams sind sich möglicherweise nicht der Bedeutung von Updates, Patches, Konfigurationen, Berechtigungen und kritischen Sicherheits- und Regulierungskontrollen für diese Assets bewusst, was die Gefährdung des Unternehmens weiter erhöht.

Sensible Daten können auf ungesicherten Schatten-IT-Geräten und -Apps gespeichert, abgerufen oder übertragen werden, wodurch das Unternehmen dem Risiko von Datenschutzverletzungen oder Datenlecks ausgesetzt ist. Daten, die in Schatten-IT-Anwendungen gespeichert sind, werden bei Backups offiziell genehmigter IT-Ressourcen nicht erfasst, sodass es schwierig ist, Informationen nach einem Datenverlust wiederherzustellen. Schatten-IT kann auch zu Dateninkonsistenzen beitragen: Wenn Daten über mehrere Schatten-IT-Assets verteilt sind, ohne dass eine zentrale Verwaltung erfolgt, arbeiten Mitarbeiter möglicherweise mit inoffiziellen, ungültigen oder veralteten Informationen.

Vorschriften wie der „Health Insurance Portability and Accountability Act”, der „Payment Card Industry Data Security Standard” und die Datenschutz-Grundverordnung stellen strenge Anforderungen an die Verarbeitung personenbezogener Daten. Von Mitarbeitern und Abteilungen ohne Compliance-Kenntnisse entwickelte Schatten-IT-Lösungen erfüllen diese Datensicherheitsstandards möglicherweise nicht, was zu Geldstrafen oder rechtlichen Schritten gegen das Unternehmen führen kann.

Schatten-IT-Anwendungen lassen sich möglicherweise nicht ohne Weiteres in die genehmigte IT-Infrastruktur integrieren und behindern so Workflows, die auf gemeinsam genutzten Informationen oder Assets basieren. Das IT-Team wird bei der Einführung neuer genehmigter Assets oder der Bereitstellung der IT-Infrastruktur für eine bestimmte Abteilung wahrscheinlich nicht auf Schatten-IT-Ressourcen achten. Infolgedessen kann die IT-Abteilung Änderungen am Netzwerk oder an den Netzwerkressourcen vornehmen, die die Funktionalität der Schatten-IT-Assets, auf die die Teams angewiesen sind, beeinträchtigen.

Unternehmen haben in der Vergangenheit oft versucht, diese Risiken zu minimieren, indem sie Schatten-IT vollständig verboten haben. IT-Führungskräfte akzeptieren Schatten-IT jedoch zunehmend als unvermeidlich, und viele haben die geschäftlichen Vorteile von Schatten-IT erkannt. Zu diesen Vorteilen gehören:

• Teams sind in der Lage, flexibler auf Veränderungen in der Geschäftswelt und die Entwicklung neuer Technologien zu reagieren
   

• Mitarbeiter dürfen die besten Tools für ihre Arbeit verwenden
   

• Rationalisierung des IT-Betriebs durch Senkung der Kosten und des Ressourcenbedarfs für die Anschaffung neuer IT-Assets

Um die Risiken der Schatten-IT zu minimieren, ohne auf die Vorteile zu verzichten, versuchen viele Unternehmen, die Schatten-IT an die Standard-IT-Sicherheitsprotokolle anzupassen, anstatt sie vollständig zu verbieten. Zu diesem Zweck implementieren IT-Teams häufig Cybersicherheitstechnologien wie Angriffsflächenmanagement -Tools, die die internetfähigen IT-Assets eines Unternehmens kontinuierlich überwachen, um Schatten-IT zu erkennen und zu identifizieren, sobald sie eingesetzt wird. Diese Schatten-Assets können dann auf Schwachstellen untersucht und behoben werden. 

Unternehmen können auch eine CASB-Software (Cloud Asset Security Broker) nutzen, die sichere Verbindungen zwischen Mitarbeitern und allen von ihnen genutzten Cloud-Ressourcen, einschließlich bekannter und unbekannter Ressourcen, sicherstellt. CASBs können Schatten-Cloud-Services aufdecken und sie Sicherheitsmaßnahmen wie Verschlüsselung, Zugriffskontrollrichtlinien und Malware-Erkennung unterziehen.