Licht in die Schatten-IT bringen

Autorin/Redakteur: Mandy Putzmann/gg

Egal ob als CEO oder IT-Verantwortlicher, die IT-Sicherheit ist ein Wettlauf und ein immerwährender Prozess. Insbesondere den aktuellen Entwicklungen sind dabei Rechnung zu tragen. Dazu zählen nicht nur das Thema Monitoring der externen IT-Sicherheits-Gefahren, sondern auch die so genannte Schatten-IT im Unternehmen selbst.

Von Schatten-IT wird gesprochen, wenn Mitarbeiter oder Abteilungen fremde Programme einsetzen oder eigene Geräte ohne Genehmigung ins Firmennetz bringen. Laut einer weltweiten Umfrage der Cloud Security Alliance (CSA), unter mehr als 200 IT-Sicherheitsverantwortlichen, wissen lediglich acht von 100 Unternehmen wie viel Schatten-IT innerhalb ihrer Netze “betrieben” wird. Schatten-IT stellt also für Unternehmen und insbesondere die IT-Abteilungen ein enormes Problem dar – denn was offiziell nicht vorhanden ist, kann auch nicht verwaltet und überwacht werden.

Eine große Herausforderung sind insbesondere Cloud-basierte Anwendungen. Über diverse Cloud-Services wie Dropbox oder Facebook können Mitarbeiter unbeobachtet Dokumente versenden oder veröffentlichen. Malware nutzt Cloud-Services so zum Beispiel als Vektor. In Konsequenz heißt das: Wenn Unternehmen nicht freigegebene Software und Services nicht überschauen, verwalten oder eliminieren, können sowohl die IT-Sicherheit sowie die Bandbreite beeinträchtigt werden. Zudem kann es zu Compliance-Problemen und einer erhöhten finanziellen und personellen Last für die IT-Abteilungen kommen.

Nun lassen sich einzelne Clouds sperren oder verbieten. Aber hilft das wirklich? Können Dienste ausreichend geblockt werden und wie lange dauert es, bis die Mitarbeiter eine neue Lösung gefunden haben? Eigentlich wollen die Anwender mit Hilfe der Cloud-Services gut und schnell arbeiten. Genau diesen Wunsch machen sich “nette Dienste” zu eigen, entwickeln neue Lösungen auch unter anderem Namen, um die Probleme der Anwender zu lösen und bei der Gelegenheit Know-how abzugreifen. Letztendlich sind Verbote und technologische Sperren also ein legitimer aber nicht immer effektiver Weg. Es gibt heute bessere Wege, um Licht in die Schatten IT zu bringen.

Zu beachten beim Einsatz von Cloud-Sicherheits-Software

Das Thema Schatten-IT ist ein seit langem bekanntes Phänomen, wurde aber in der Praxis zu wenig beachtet, sodass es kaum Unternehmen gibt, die auf diesem Gebiet wirklich Erfahrungen haben. Die IT-Sicherheitsexperten von Axsos kennen dies aus der Unternehmenspraxis. Seine Kunden unterstützt das Unternehmen dadurch, dass es empfiehlt auf bestimmte Punkte zu achten, die eine Cloud-Sicherheits-Software leisten muss. Das oberste Ziel dabei sind aber nicht Verbote und technologische Sperren. Stattdessen sollte eine Lösung Verwendung finden, die es ermöglicht, Cloud-Services zu nutzen, die über entsprechende Sicherheit, Compliance und Governance verfügen. Mit dem positiven Nebeneffekt, dass dadurch das Gesamtrisiko und die Kosten niedrig gehalten werden können. Dazu sollte die Lösung den gesamten Lebenszyklus eines Cloud Services abbilden können – von der Identifizierung über die Analyse bis zur Sicherheit des Services.