Was ist Shadow IT und wie kann man sich davor schützen?

Shadow IT steht für Systeme, Apps/Applikationen oder Cloud-Dienste, die ohne Wissen oder Zustimmung der IT-Abteilung von Mitarbeitern eines Unternehmens genutzt werden.

Informationssysteme in großen Organisationen können für ihre Nutzer/innen eine Quelle der Frustration sein. Um vermeintliche oder tatsächliche Einschränkungen der von einer zentralen IT-Abteilung bereitgestellten Lösungen zu umgehen, bauen andere Abteilungen möglicherweise unabhängige IT-Ressourcen auf, um ihre spezifischen oder dringenden Bedürfnisse zu erfüllen. Es ist nicht ungewöhnlich, dass Abteilungen ohne Genehmigung oder Aufsicht der zentralen IT-Abteilung Ingenieure einstellen und Software kaufen und/oder sogar entwickeln.

Beliebte nicht überwachte IT-Systeme

Einer der Hauptgründe, warum Beschäftigte Shadow IT nutzen, ist einfach, um effizienter zu arbeiten. Diese Tools werden am häufigsten genutzt:

• Dropbox
• Whatsapp
• Skype
• OneDrive
• Bildbearbeitungssysteme
• Filesharing Cloud-Dienste

Die Nutzer sind sich oftmals nicht bewusst, dass sie zur Shadow IT beitragen. Es geschieht also nicht aus Bosheit, sondern oft aus Bequemlichkeit. Die Nutzer/innen sind bereits mit diesen Anwendungen und Diensten vertraut und fühlen sich mit ihnen wohler. Manchmal wissen Mitarbeiter/innen einfach nicht, welche Apps ihre IT-Abteilung anbietet, sie haben schlechte Erfahrungen mit der Beantragung einer nicht genehmigten App gemacht oder der Prozess dauert zu lange. Während der COVID-19 Pandemie haben wir einen Anstieg der Shadow IT festgestellt, vor allem am Anfang, als viele Menschen in ihr Home Office umgezogen sind und nicht die richtigen Werkzeuge für die Zusammenarbeit hatten.

Warum ist Shadow-IT gefährlich?

Fazit: Wenn die IT-Abteilung eine Anwendung nicht kennt, kann sie sie nicht unterstützen oder überprüfen, ob sie sicher ist. Andere Gründe sind:

• IT-Abteilungen können Applikationen nicht testen oder verifizieren
• Sie können Schwachstellen nicht patchen (alte Sofwareversionen)
• Sie können Ihre IT-Security Policy nicht anpassen
• Sie wissen nicht wo überall kritische Daten liegen oder GDPR relevante Daten verarbeitet werden (Haftbarkeit)

Shadow IT ist nicht per se gefährlich, aber bestimmte Funktionen wie die gemeinsame Nutzung/Speicherung von Dateien und die Zusammenarbeit können zu sensiblen Datenlecks führen. Neben den Sicherheitsrisiken kann Shadow IT auch Geld verschwenden, wenn verschiedene Abteilungen unwissentlich doppelte Lösungen kaufen.

So können Sie den Gefahren der Shadow IT entgegenwirken

Es ist zwar klar, dass die Schatten-IT nicht verschwinden wird, aber Unternehmen können das Risiko minimieren. Dies kann durch die Aufklärung der Endnutzer/innen (Awareness-Training) und durch vorbeugende Maßnahmen zur Überwachung und Verwaltung nicht genehmigter Anwendungen geschehen.

Es ist auch klug, den Bewerbungsprozess zu vereinfachen und klar zu definieren, wenn jemand eine neue App installieren möchte. Als IT-Abteilung kann man auch proaktiv handeln, indem man mit den Abteilungen in Kontakt tritt, um ihre IT-Bedürfnisse zu verstehen und Lösungen anbietet, die ihren Anforderungen entsprechen.

Außerdem kann man regelmäßige Audits und Umfragen durchführen, um unbefugte IT-Ressourcen innerhalb deiner Organisation zu identifizieren. Eine weitere Möglichkeit wäre es, Früherkennungssysteme zu installieren, um die Nutzung unbefugter IT-Ressourcen zu erkennen und entsprechende Maßnahmen zu ergreifen.

Eine härtere Methode besteht darin, die Kommunikation mit unerwünschten Anwendungen zu blockieren. Auf diese Weise kann die Schatten-IT eingedämmt werden.

Anwendungen zur Überwachung der Shadow IT

Es gibt verschiedene Tools, die Unternehmen zur Überwachung von Shadow IT einsetzen können, darunter:

• DNS-Sicherheit: Das DNS ist der Anfang jeder Kommunikation, es sieht alles. Er kann unerwünschte Anwendungen blockieren (Zero Trust), er ist ein Angriffsvektor und kann auch eine Verteidigungslinie sein. Und er ist auch Teil der Cyber-Kill-Chain.
  
• Cloud Access Security Brokers (CASBs): CASBs können eingesetzt werden, um die Nutzung von Cloud-Diensten zu überwachen und unbefugte Cloud-Dienste innerhalb des Unternehmens zu erkennen.
• Endpoint Detection and Response (EDR): EDR-Tools können Endpoints wie Desktops, Laptops und mobile Geräte überwachen, um nicht autorisierte Anwendungen oder Prozesse aufzuspüren, die auf ihnen laufen.
• Data Loss Prevention (DLP): DLP-Tools können eingesetzt werden, um die Bewegung sensibler Daten innerhalb des Unternehmens zu überwachen und zu kontrollieren. DLP-Tools können erkennen, wenn sensible Daten an nicht autorisierte Cloud-Dienste oder Geräte übertragen werden.
• Application Performance Monitoring (APM): APM-Tools können die Leistung von Anwendungen überwachen, die im Unternehmen genutzt werden. Sie können erkennen, wenn Mitarbeiter/innen unbefugte oder nicht zugelassene Anwendungen nutzen.

Mit diesen Tools können Unternehmen die Nutzung von Shadow IT im Unternehmen erkennen und überwachen und entsprechende Maßnahmen ergreifen, um sicherzustellen, dass alle IT-Ressourcen sicher und gesetzeskonform verwaltet werden. Wichtig ist, dass diese Tools in Verbindung mit Richtlinien und Verfahren eingesetzt werden, in denen die zulässige Nutzung von IT-Ressourcen innerhalb der Organisation klar definiert ist.