Schatten-IT: So finden Sie versteckte Risiken in Ihrem IT-Perimeter

Schatten-IT hat sich von einem gelegentlichen Ärgernis zu einer allgegenwärtigen Sicherheitsherausforderung gewandelt, die jede Organisation betrifft. Diese unautorisierten Anwendungen, Dienste und Geräte operieren jenseits der Überwachung (und oftmals Kenntnis) durch IT-Abteilungen und bilden blinde Flecken und Angriffsvektoren in Ihrer Sicherheitsarchitektur, die Angreifer zunehmend ausnutzen.

Doch die Wahrheit ist: Ihre Mitarbeiter arbeiten nicht mutwillig an der Unterminierung Ihrer Sicherheitsmaßnahmen. Sie lösen Probleme ihres Arbeitsalltags mit Werkzeugen, die für sie funktionieren (selbst wenn sie damit unwissentlich den IT-Teams Kopfschmerzen bereiten). Die Herausforderung für Sicherheitsteams besteht darin, Einblick zu erhalten, wo sie noch nichts sehen können, und sowohl bekannte als auch unbekannte Assets über alle Angriffsflächen hinweg zu überwachen.

Was genau ist Schatten-IT?

Schatten-IT umfasst jede technologische Ressource, die innerhalb einer Organisation ohne die ausdrückliche Freigabe durch die IT-Abteilung in Gebrauch ist. Das beinhaltet alles von Cloudspeicherdiensten und Kommunikationsplattformen bis zu persönlichen Geräten und unautorisierten Softwareinstallationen.

Der Umfang geht über simple Software hinaus – zu moderner Schatten-IT gehören:

  • Unbetreute Clouddienste und Speicherplattformen
  • Persönliche Geräte, die mit Firmennetzwerken verbunden sind
  • Unautorisierte API-Integrationen zwischen Anwendungen
  • Persönliche Accounts auf Businessplattformen
  • Nicht freigegebene Browsererweiterungen und Plugins
  • Dienste Dritter, die ohne Überprüfung oder Sicherheitsanalyse integriert wurden

Die technische Herausforderung besteht nicht nur darin, diese Assets aufzuspüren, sondern ihre Datenströme, Berechtigungen und potenziellen Schwachstellen zu verstehen.

Der Umfang des Schatten-IT-Problems

Die Zahlen zeichnen ein düsteres Bild davon, wie weitverbreitet Schatten-IT inzwischen ist. Laut Gartners Vorhersage werden 2027 75 % aller Angestellten Technologie jenseits der Sichtbarkeit für ihre IT-Kollegen erwerben, modifizieren oder erstellen, gegenüber 41 % im Jahr 2022. Organisationen entdecken regelmäßig, dass sie erheblich mehr Anwendungen in Gebrauch haben als ursprünglich angenommen, was zu ausgedehnten blinden Flecken in Ihrer Sicherheitsinfrastruktur führt.

Diese Proliferation schafft vielfältige Angriffsvektoren, mit deren Monitoring und Schutz Sicherheitsteams zu kämpfen haben. Jede unautorisierte Anwendung bedeutet einen potenziellen Eintrittspunkt für böswillige Akteure, dennoch fehlt es vielen Organisationen an einer umfassenden Kenntnis ihres tatsächlichen Technologiefußabdrucks.

Sicherheitsschwachstellen rund um Schatten-IT

Schatten-IT sorgt für drei verschiedene Kategorien von Schwachstellen, die sich miteinander zu einem erhöhten Allgemeinrisiko für die Organisation verbinden.

Ungewartete Systeme und Anwendungen

Wenn Mitarbeiter ohne die Aufsicht ihrer IT-Kollegen Software installieren oder Dienste nutzen, fehlt es diesen Ressourcen oft an der nötigen Wartungsroutine. Kritische Sicherheitsupdates werden verpasst, was bekannte Schwachstellen für ausgedehnte Zeiträume ungeschützt lässt.

Stellen Sie sich vor, ein Marketingteam nutzt ein unautorisiertes Tool für das Projektmanagement mit Admin-Berechtigung für Firmendaten. Wenn diese Anwendung ein bekanntes Sicherheitsleck hat, wird sie nicht dieselbe augenblickliche Aufmerksamkeit des Wartungsdienstes bekommen wie eine, von der IT freigegebene Software. Angreifer zielen besonders auf solche Szenarien, denn sie wissen, dass viele Organisationen Probleme mit der umfassenden Betreuung all ihrer Assets haben.

Das technische Risiko geht sogar über die Anwendung selbst hinaus. Unautorisierte Software fordert häufig weitreichende Zugriffsberechtigungen, lässt es aber selbst an angemessenen Zugriffskontrollen mangeln und könnte mit existierenden Monitoring-Tools nicht integrierbar sein. Dies führt zu Überwachungslücken, an denen böswillige Aktivitäten unerkannt bleiben.

Datenlecks und Zugriffskontrollpannen

Schatten-IT umgeht häufig etablierte Richtlinien der Datenverwaltung. Mitarbeiter könnten sensible Informationen auf unautorisierten Cloudspeicherdiensten hochladen oder vertrauliche Dokumente auf nicht zugelassenen Plattformen weitergeben.

Das fundamentale Problem ist Authentifizierung und Autorisierung. Solche Dienste nutzen oft persönliche Kundenkonten oder vereinfachte Zugangskontrollen, die nicht mit betrieblichen Sicherheitsstandards in Einklang sind. Multifaktorauthentifizierung könnte ausgeschaltet sein, Passwortrichtlinien sind eventuell schwach und Zugriffsaufzeichnungen vielleicht nicht mit Ihren SIEM (Sicherheitsinformations- und Eventmanagement)-Systemen integrierbar.

Datenresidenz wird zu einem weiteren Bedenken. Sind Informationen in unautorisierten Clouddiensten gespeichert, könnten sie anderen Rechtssprechungen unterliegen oder an Orten gespeichert sein, die die Anforderungen Ihres Unternehmen in Sachen Compliance nicht erfüllen.

Lücken in der Netzwerksicherheit

Jede Ressource der Schatten-IT stellt für Angreifer eine Möglichkeit zur lateralen Bewegung dar. Unautorisierte Geräte, die sich mit Betriebsnetzwerken verbinden, könnte es an Endpoint Protection fehlen und unzulässige Clouddienste schaffen zusätzliche Netzwerkpfade, die Sicherheitskontrollen umgehen.

Die Herausforderung wächst mit API-Integrationen. Mitarbeiter verbinden unautorisierte Services oft mit zugelassenen betrieblichen Anwendungen und schaffen damit Datenströme, die Sicherheitsteams nicht überwachen oder kontrollieren können. Erhält ein Angreifer Zugang durch den unautorisierten Dienst, könnte er sich durch diese Integrationen freigegebenen Systemen zuwenden.

Identifizieren Sie noch heute Ihre externe Angriffsfläche

Versteckte Kosten durch Schatten-IT

Über direkte Sicherheitsvorfälle hinaus stellt Schatten-IT eine ständiges finanzielles Risiko dar, das viele Organisationen unterschätzen.

Pannenbehebungs- und Wiederherstellungskosten

Die pharmazeutische Industrie sieht sich durchschnittlich pro Sicherheitspanne Kosten von 5,04 Millionen US-Dollar gegenüber, aber Vorfälle aufgrund von Schatten-IT erweisen sich oft als noch kostspieliger in der Behebung. Der Mangel an Sichtbarkeit bedeutet, dass Vorfälle später entdeckt werden, der Schaden sich weiter ausbreitet und forensische Ermittlung komplexer wird.

Wiederherstellungskosten eskalieren, wenn Sie es mit unautorisierten Services zu tun haben. Es könnte Ihnen an Zugriff auf betroffene Systeme fehlen, es existieren möglicherweise keine Kundenbetreuungsvereinbarungen mit den Anbietern und die Optionen zur Datenwiederherstellung sind eventuell beschränkt.

Operative Effizienzverluste

Schatten-IT baut häufig redundante Funktionalitäten auf, was zu unnötigen Lizenzkosten und Ressourcenverschwendung führt. Verschiedene Teams nutzen eventuell diverse unautorisierte Werkzeuge, die Ähnliches können, während „offizielle“ Lösungen kaum genutzt werden.

Die Auswirkung auf die Produktivität macht auch vor IT-Teams nicht Halt, die auf Probleme mit Schatten-IT reagieren müssen, statt sich auf strategische Initiativen zu konzentrieren. Sicherheitsteams verschwenden Zeit mit der Ermittlung unbekannter Assets, während die Kapazität des Helpdesks dafür benutzt wird, Hilfestellung bei unautorisierten Anwendungen zu leisten.

Verletzungen der Regelkonformität

Schatten-IT stellt eine bedeutsame Herausforderung für die Compliance über vielfältige regulatorische Umgebungen hinweg dar. Der Kern des Problems ist, dass man nicht angemessen schützen oder prüfen kann, von dessen Existenz man nichts weiß. DSGVO, CCPA und ähnliche Datenschutzverordnungen verlangen von Organisationen detaillierte Aufzeichnungen ihrer Datenverarbeitungsprozesse. Schatten-IT macht dies nahezu unmöglich, da Daten von unautorisierten Diensten verarbeitet werden, die nicht in der offiziellen Dokumentation erscheinen.

Regulierte Wirtschaftszweige stehen vor zusätzlichen Hürden. Organisationen im Gesundheitswesen, die unautorisierte Plattformen nutzen, verstoßen möglicherweise gegen HIPAA-Anforderungen oder ähnliche Vorschriften. Finanzfirmen könnten SOX-Compliance verletzen, wenn unautorisierte Anwendungen an Prozessen der Finanzberichterstattung beteiligt waren.

Die technische Herausforderung beinhaltet die Datenzuordnung. Datenschutzverordnungen verlangen von Organisationen, dass sie wissen, wo persönliche Daten gespeichert sind, wie sie verarbeitet werden und wer Zugriff auf sie hat. Schatten-IT operieren oft außerhalb dieser Mapping-Prozesse und schaffen damit auch blinde Flecken in Sachen Compliance. Das Risiko wiegt schwerer, wenn Schatten-IT auch Dienste von Dritten umfasst, die keine angemessene Risikobewertung als Anbieter unterlaufen haben. Ihre Organisation wird verantwortlich für Verletzungen der Regelkonformität, selbst wenn die tatsächliche Panne bei einem unautorisierten Dienstanbieter geschieht.

Die Dimension der Schatten-KI

Laut IBM sagen 97 % der Organisation mit Datenlecks, die einen Sicherheitsvorfall unter Beteiligung von KI hatten, dass Ihnen eine angemessene Kontrolle über KI-Zugriffe gefehlt hat. Zudem eröffneten 63 % der 600 Organisationen, die vom unabhängigen Ponemon Institute befragt wurden, dass sie keine Richtlinien zum Umgang mit KI oder zur Vermeidung der Nutzung von Schatten-KI durch ihre Belegschaft besitzen.

Der Bericht hielt es so fest: „Dieses Schlupfloch in der Aufsicht für KI bringt hohe finanzielle und operative Kosten mit sich. Der Report zeigt, dass die Existenz eines hohen Anteils von Schatten-KI – wenn Belegschaftsmitglieder nicht freigegebene, internetbasierte KI-Tools herunterladen oder nutzen – zusätzlich 670.000 US-Dollar zu den globalen Durchschnittskosten einer Datenpanne hinzufügten.”

Werkzeuge mit künstlicher Intelligenz stellen eine rasch wachsende Untergruppe der Schatten-IT dar, mit ganz eigenen Risiken. Mitarbeiter nutzen zunehmend KI-getriebene Anwendungen für Aufgaben von Contentgenerierung bis Datenanalyse und das oft, ohne die Folgen für die Sicherheit in Betracht zu ziehen.

Risiken der Datenexposition

KI-Anwendungen erfordern typischerweise, dass man sie massiv mit Daten füttert, damit sie wirkungsvoll funktionieren. Mitarbeiter könnten sensible Informationen auf unautorisierte KI-Dienste hochladen, womit sie unbeabsichtigt Modelle anhand vertraulicher Daten trainieren oder Zugriff auf geistiges Eigentum erlauben.

Das technische Risiko beinhaltet Richtlinien zur Datenaufbewahrung. Viele KI-Services speichern zugefütterte Daten endlos oder nutzen sie für Trainingszwecke der Modelle. Das schafft langfristige Expositionsrisiken, die weiterbestehen, selbst nachdem Mitarbeiter die Nutzung des unautorisierten Dienstes eingestellt haben.

Modellmanipulation und böswillige Prompt-Injection

Fortgeschrittene KI-Anwendungen sehen sich ganz eigenen Angriffsvektoren ausgesetzt, etwa Promptinjektion, wo böswillige Inputs das Verhalten der KI manipulieren. Sollten Mitarbeiter unautorisierte KI-Tools zur Entscheidungsfindung einsetzen, könnten solche Angriffe Geschäftsergebnisse beeinflussen.

Die Integrationsherausforderung wird komplex, wenn unautorisierte KI-Services mit betrieblichen Datenquellen verbunden werden. Angreifer könnten den KI-Service anvisieren, um indirekt Zugriff auf sensible Informationen zu gewinnen oder KI-generierte Erkenntnisse, die zu Geschäftsentscheidungen führen, zu manipulieren.

Erkennungsstrategie: Finden Sie Ihre unbekannten Variablen

Effektive Erkennung von Schatten-IT erfordert einen mehrschichtigen Ansatz, der technische Überwachung mit der wirkungsvollen Umsetzung von Richtlinien zusammenführt.

Analyse des Datenverkehrs im Netzwerk

Moderne Erkennung beginnt mit umfassender Netzwerküberwachung, die unautorisierte Kommunikationsmuster identifiziert. Dazu gehört die Analyse von DNS-Anfragen, Metadaten von verschlüsseltem Datenverkehr und ungewöhnlichen Mustern im Datenstrom, die Indikatoren für die Nutzung von Schatten-IT sein könnten.

Genau Inspektion von Datenpaketen und Verhaltensanalyse können die Verwendung unautorisierter Clouddienste aufdecken, selbst wenn die Datenströme verschlüsselt sind. Suchen Sie nach wiederkehrenden Uploads auf unbekannte IP-Adressen oder ungewöhnliche Anwendungssignaturen im Datenverkehr des Netzwerks.

Endpointdetection

Bringen Sie Tools in Umlauf, die Endpoints auf installierte Software inventarisieren und die Anwendungsausführung überwachen. Dieser Ansatz identifiziert unautorisierte Softwareinstallationen und Nutzungsmuster, die reguläres Netzwerk-Monitoring übersehen könnte.

Die Überwachung von Browsererweiterungen ist ausgesprochen wichtig geworden, da viele Schatten-IT-Dienste mittels Web-Interfaces operieren. Erweiterungen fordern oft ausufernde Zugangsberechtigungen ab und können über eine breite Palette von Sites auf sensible Daten zugreifen.

Management der externen Angriffsfläche (External attack surface management, EASM)

Tools zum Management der externen Angriffsfläche (kurz EASM) entdecken über das Internet erreichbare Assets – auch diese die nicht in Ihrer CMDB geführt sein könnten. Dazu gehört auch Schatten-IT, welche externe Zugangspunkte schaffen, oder unautorisierte Cloudressourcen, die von einzelnen Abteilungen bereitgestellt wurden.

EASM versorgt Sie mit einer von außen nach innen gerichteten Perspektive, die interne Überwachungswerkzeuge oft nicht bieten können, und identifiziert Ressourcen der Schatten-IT, die Vektoren für externe Angriffe bieten.

Gewinnen Sie die Kontrolle über Ihre Angriffsfläche zurück

Schatten-IT wird sich in dem Maß weiterentwickeln wie neue Technologien aufkommen und sich geschäftliche Anforderungen ändern. Das Ziel ist nicht ihre komplette Eliminierung – das ist weder realistisch noch vorteilhaft für die Produktivität Ihres Unternehmens. Konzentrieren Sie sich stattdessen darauf, eine umfassende Sichtbarkeit herzustellen und risikobasierte Kontrollen einzuführen.

Wenn Sie Ihren vollständigen digitalen Fußabdruck, inklusive Schatten-IT, verstehen, erlaubt Ihnen das wohlinformierte Entscheidungen zu treffen und reduziert die Angriffsfläche, die Angreifer ausnutzen könnten. Wissen Sie, welche Assets in Ihrer Organisation existieren, können Sie sich angemessen absichern.

Sie Sie bereit Schatten-IT in Ihrer Umgebung aufzudecken? Unsere External Attack Surface Management-Lösung bietet einen ganzheitlichen Blick auf möglicherweise unbekannte Assets überall in Ihrer digitalen Infrastruktur und hilft Ihnen, technologische Ressourcen zu identifizieren und abzusichern, von denen Sie nicht einmal wussten, dass Sie sie haben. Buchen Sie noch heute Ihre Live-Demo.

About the Author

Marcus White Cybersecurity Specialist Headshot schwarzes T-shirt
Marcus White Cybersecurity Specialist, Outpost24

Marcus ist ein in Großbritannien ansässiger Cybersicherheitsspezialist von Outpost24. Er arbeitet seit über 8 Jahren in der B2B-Tech-Branche und hat eng mit Produkten für E-Mail-Sicherheit, Schutz vor Datenverlust, Endpunktsicherheit und Identitäts- und Zugriffsverwaltung gearbeitet.