Um sich gegen Cyberkriminalität zu schützen, müssen Unternehmen ihre Angriffsfläche für mögliche Bedrohungen minimieren. Diese Aufgabe gewinnt immer mehr an Komplexität: zunehmende Vernetzung, cloudbasierte Services und Remote-Work-Modelle erhöhen die Zahl der Zugangspunkte auf unternehmerische IT-Netzwerke. Ein weiteres mögliches Einfallstor bildet die so genannte Schatten-IT: Assets, die abseits der festgelegten IT- Regularien entstehen und ungeschützt bleiben, solange sie sich dem Wissen und Zugriff der zuständigen IT-Abteilungen entziehen.

Während die Herausbildung von Shadow-IT-Praktiken auch ein internes Anzeichen innovativer Dynamik sein kann, stellen die damit verbundenen Gefahren Unternehmen vor neue Herausforderungen. Dieser Artikel untersucht das Für und Wider der Schatten-IT, um einen angemessenen Umgang damit zu finden – Sicherheit zu gewährleisten, ohne dabei mögliche Innovationskraft und Eigeninitiative im Unternehmen zu unterbinden.

Wie Shadow-IT entsteht und dabei Angriffsflächen vergrößert

Unter dem Druck beschleunigter technischer Entwicklungen und Möglichkeiten sind viele Mitarbeiter versucht, ihre Arbeit einfacher und schneller zu erledigen, indem sie Geräte, Dienste oder Anwendungen ohne das Wissen und die Zustimmung der IT-Abteilung nutzen. Beispielsweise finden so eigene mobile Geräte mit allen darauf installierten Apps Verwendung im Unternehmensnetzwerk, private Messengerdienste werden für den Austausch vertraulicher Informationen genutzt, Software oder Hardware auf eigene Faust beschafft oder Cloud-Plattformen angebunden. Die gravierende Folge: So entstehen Zugangspunkte im Unternehmensnetzwerk, die durch keine etablierten Verfahren und Cybersicherheitslösungen geschützt werden. Solche externen Schnittstellen können Schwachstellen wie unbekannte Sicherheitslücken, fehlende Updates, offene Ports, Standardpasswörter oder andere Fehlkonfigurationen enthalten, durch die sich Unbefugte Zugang zum Netzwerk und seinen Ressourcen verschaffen können. Selbst bei der Nutzung intern autorisierter Cloud-Dienste wie Google Workspace können Mitarbeiter durch Zugriff von ihren eigenen, nicht überwachten Konten aus Daten und Dateien unkontrolliert teilen und damit Risiken schaffen. Diebstahl, Datenschutzverletzungen, Erpressungen und Asset-Verluste bis hin zum Vertrauensverlust des Unternehmens als Ganzes können die Folge sein.

Die verbotene Frucht: Welche Vorteile aus Sicht der Mitarbeiter die Ausbreitung von Schatten-IT begünstigen

Um die unkontrollierte Vermehrung von Schatten-IT in den Griff zu bekommen, lohnt es sich zunächst zu hinterfragen, was sie aus Sicht von Anwendern im Unternehmen so attraktiv macht. Komfort und Nutzerfreundlichkeit von Anwendungen und Online-Diensten prägen mittlerweile grundlegend unsere alltäglichen Erfahrungen. Die wenigsten von uns sind bereit oder auch nur in der Lage, damit verbundene Anspruchshaltungen im Unternehmen abzulegen. Die meisten Mitarbeiter erwarten, dass auch unternehmerische Aufgaben sich einfach und mühelos erledigen lassen sollten. Eine Vielzahl gewohnter und nebenbei erledigter Aktivitäten, etwa Login, Chatten, Dateien transferieren und Informationen weitergeben, sind längst Bestandteile des eigenen Workflows, die nicht weiter hinterfragt werden. Wenn externe Tools besser zur Erledigung einer Aufgabe geeignet sind als alles, was intern verfügbar wäre, liegt es nahe, sie auch zu nutzen, selbst wenn das im Unternehmen nicht erwünscht ist (was allerdings in vielen Fällen auch nicht klar genug kommuniziert wird).

Weil die Unzulänglichkeit bestehender IT-Lösungen keine Seltenheit ist, erscheint auch der Regelbruch schnell als Notwendigkeit, um dringende Aufgaben zu erledigen oder sich die Arbeit etwas leichter zu machen. Wie umsetzungskritisch Schatten-IT sein kann, verdeutlicht auch eine umgekehrt gestellte Frage: Welche Auswirkung hätte es auf die Produktivität von Unternehmensmitarbeitern, wenn diese von nun an zu 100 % regelkonform arbeiten müssten? Wenn Mitarbeiter wichtige Aufgaben schneller erledigen, indem sie externe Werkzeuge agil nutzen, so ermöglichen sie im Unternehmen damit auch Innovation. Um solche positiven Impulse aus Initiativen einzelner Mitarbeiter oder Teams in die Breite der Organisation zu übertragen, braucht es aber Kontrolle und damit Transparenz.

Vergessene und veraltete Assets

Hinterlassenschaften ehemaliger Mitarbeiter sind ein weiteres Beispiel für fehlende Kontrolle, die durch Workflows jenseits der IT-Vorschriften entstehen kann. Jede ausprobierte und wieder liegen gelassene IT-Lösung ist ein potenzieller Zugriffspunkt im System, an den niemand mehr denkt, weil niemand ihn nutzt. Auch unkontrollierte Kostenfaktoren können entstehen, etwa wenn nicht autorisierte Abonnements einfach weiterlaufen. Und nicht zuletzt sind immer mehr Geräte im Unternehmensalltag vernetzt („smart“) – vom Netzwerkdrucker über VoIP-Telefone bis zur IP-Kamera. Die Anschaffung solcher IoT-Geräte (Internet of Things) kann ebenfalls Cyberrisiken mit sich bringen, was den meisten Mitarbeitern kaum bewusst ist.

Alle hier beschriebenen Fälle der Nutzung nicht autorisierter externer Lösungen haben etwas gemeinsam. Ob Schatten-IT zur erfolgreichen Erledigung interner Aufgaben führt oder vergessen und nicht weiter verfolgt wird: Sie in den Griff zu bekommen erfordert technische Lösungen, um überhaupt Transparenz herstellen zu können, aber auch eine grundlegende Veränderung im Problembewusstsein der Beteiligten.

Verständnis zu schaffen fördert das gemeinsame Sicherheitsdenken

Eine kluge Strategie im Umgang mit Schatten-IT liegt darin, einerseits das aktuell vorhandene Ausmaß abzuklären und einen angemessenen Umgang mit den jeweiligen Lösungen festzulegen sowie andererseits die Belegschaft für ihre Risiken zu sensibilisieren, Verständnis zu schaffen für mögliche Konsequenzen und ausgehend davon zu einem gemeinsam getragenen Sicherheitsdenken und -verhalten zu gelangen. Denn sonst besteht weiterhin die Gefahr, dass die IT-Abteilung nicht als Enabler, sondern als nur auf Kontrolle bedachte Verhinderer wahrgenommen wird. Der Umgang mit IT-Assets und die Möglichkeiten und Grenzen von Eigeninitiative sollten in einer unternehmensweiten IT-Richtlinie verbindlich definiert und als Leitfaden allen Mitarbeitern zur Verfügung gestellt werden.

Hilfreich für die Aufklärungsarbeit im Unternehmen ist es, den Mitarbeitern die Perspektive und Denkweise von Hackern nahezubringen: Bereits in der Startphase der so genannten Cybersecurity Kill Chain untersuchen Kriminelle, welche Unternehmen sich zur Opferauswahl eignen. Ihr Augenmerk liegt dabei auf allen online exponierten Assets. Die eigene Unternehmens-Angriffsfläche zu kartieren und zu minimieren, bevor Cyberkriminelle darauf aufmerksam werden können, ist daher die sicherste Methode, um Cyberangriffe zu verhindern. Dazu gehört auch die Bereinigung von Assets ohne geschäftliche Daseinsberechtigung.

Natürlich kann etwa die Arbeit mit externen Ressourcen ihren definierten Platz im Unternehmen haben, wenn sie zum Erreichen der Unternehmensziele beiträgt. Den begründeten Bedürfnissen im Arbeitsalltag Rechnung zu tragen muss nicht im Widerspruch zur Minimierung der Cyberangriffsfläche stehen. Der Schlüssel liegt auch hier in der Transparenz: Im Gegensatz zum Wildwuchs der Schatten-IT können Workflows mit externen Ressourcen auch in der IT-Richtlinie definiert und legitimiert werden. Sind die Anwendungsbereiche solcher Vorgänge bekannt, lassen sie sich klar eingrenzen, reglementieren und somit auch besser schützen.

Nachhaltige IT-Sicherheit durch reduzierte Angriffsflächen (External Attack Surface Management)

Aus Sicht der Verantwortlichen für IT-Sicherheit lässt sich die Frage des Umgangs mit sämtlichen IT-Assets im Unternehmensumfeld auf eine einfache Formel herunterbrechen: Nur das, was wir kennen, können wir auch wirklich schützen. Jeder übersehene Zugangspunkt im Netzwerk kann fatale Folgen haben. Darum ist es so wichtig, den Überblick über externe Angriffsflächen zu gewinnen und zu behalten.

Ein technologisch ausgereifter Weg, um Sicherheit im Unternehmen überschaubar und handhabbar zu machen, liegt im External Attack Surface Management (EASM). Die Sweepatic EASM Plattform von Outpost24 hilft Ihnen dabei, sämtliche Ihrer Schatten-IT Komponenten zu finden. Das Tool macht Sie sowohl auf unbekannte als auch auf nicht verwaltete Assets aufmerksam und ergreift entsprechende Maßnahmen. Es erkennt Bedrohungen durch externe Angriffsflächen, gewichtet damit verbundene Risiken und verbessert Ihre Reaktionsmöglichkeiten auf Vorfälle durch aktives Schwachstellenmanagement.

Die Sweepatic – Plattform:

• erkennt und inventarisiert alle internetfähigen, mit Ihrem Unternehmensnetzwerk verbundenen Assets – auch unbekannte und nicht verwaltete;
• ermöglicht Ihnen über ein Dashboard den Echtzeit-Status Ihrer Angriffsfläche zu verfolgen, liefert Ihnen Trends und Benachrichtigungen zu neuen Assets oder veränderten Angriffsflächen, die priorisiert zu beobachten sind
• und klärt kontinuierlich Ihre horizontale Angriffsfläche mit automatisierter (primärer) Domain-Erkennung (Automated Domain Discovery) auf.

Das automatisierte Echtzeit-Tool erlaubt es Ihnen, Ihre IT-Strukturen schrittweise und priorisiert zu verschlanken. Dabei behalten Sie stets im Auge, wo dynamische Nutzungsprozesse Ihrer Mitarbeiter möglicherweise neue Schwachstellen schaffen, die Sie zeitnah managen und je nach Bedarf auch als neuen Aspekt in Ihrer Schatten-IT-Richtlinie aufnehmen können.