DE
DE EN FR JA AR ES
Startseite | Blog | Verwalten Sie wirklich die Risiken der Schatten-IT?

Beherrschen Sie wirklich die Risiken der Schatten-IT?

Geschrieben von: Orlaith Traynor

4 min lesen - Oktober 18, 2022
EASM_CYBELANGEL

Verwenden Ihre Mitarbeiter persönliche Laufwerke, um Unternehmensdaten zu speichern oder weiterzugeben? Leiten sie Unternehmensdateien an ihre persönlichen E-Mails weiter?

Vielleicht haben sie Repositories für die Sammlung und gemeinsame Nutzung von Dokumenten für ein gemeinsames Projekt mit einem Anbieter erstellt oder eine praktische kleine Anwendung oder Erweiterung installiert, die sie online gefunden haben... Wenn ja, dann herzlichen Glückwunsch: Sie haben wahrscheinlich eine Schatten-IT.

Was ist Schatten-IT und warum breitet sie sich aus?

Schatten-IT bezieht sich auf alle Geräte oder digitalen Dienste, die nicht offiziell von der Sicherheitsabteilung eines Unternehmens genehmigt und unterstützt werden. Schattenressourcen können viele Formen annehmen: nicht genehmigte Ressourcen, stillgelegte Dienste, anfällige Produkte von Partnern usw. Schatten-IT kommt im Großen wie im Kleinen vor, und obwohl sie sowohl versehentlich als auch absichtlich geschehen kann, ist sie in der Regel nicht böswillig - sie ist vielmehr oft das Ergebnis gut gemeinter Initiativen auf organisatorischer und individueller Ebene. So sind beispielsweise digitale Transformationsinitiativen ein wesentlicher Bestandteil des Unternehmenswachstums, aber sie können auch zu großen Mengen an Schatten-IT führen. Ebenso können komplexe Fusionen und Übernahmen, bei denen mehrere unterschiedliche Systeme zusammengeführt werden, zu einer erheblichen Schatten-IT führen. Auf der kleinen (aber weit verbreiteten) Seite führen Mitarbeiter Schatten-IT aus einer Vielzahl von Gründen ein:

  • Sie wissen nicht, welche Software sie lizenziert oder gekauft haben.
  • Ihre bevorzugte Anwendung ist nicht vom Unternehmen genehmigt.
  • Sie sind der Meinung, dass das Genehmigungsverfahren zu langsam ist oder für freie Software nicht erforderlich ist.
  • Sie wollen die IT-Abteilung nicht zusätzlich belasten, vor allem, wenn sie sich sicher fühlen, die Anwendungen ohne technische Unterstützung zu installieren und zu nutzen.

Eine neuere Ursache für die Schatten-IT ist die Verlagerung zu hybrider/entfernter Arbeit und BYOD (Bring your own devices), wodurch die Grenze zwischen privater und geschäftlicher Nutzung verschwimmt. Die meisten Menschen gehen davon aus, dass sie keine Erlaubnis benötigen, um eine App auf ihrem privaten Telefon oder Laptop zu installieren, weil es eben privat ist - sie erkennen nicht, dass die Nutzung des Geräts für die Arbeit neue Regeln mit sich bringt.

Was sind die Kosten der Schatten-IT?

Die Schatten-IT vergrößert die Angriffsfläche einer Organisation erheblich und macht sie anfällig für Informationsverluste und Datenschutzverletzungen. In der Tat, nach verschiedenen Berichten der Industrie, 30% bis zu 70% der Cyberangriffe beginnen mit der externen Angriffsfläche eines Unternehmens-und die Schatten-IT ist einer der größten Angriffsvektoren. Angreifer betrachten die nach außen gerichteten Anlagen als Hintertüren zur Infrastruktur eines Unternehmens.

Unternehmen investieren zwar viel in den Schutz ihrer bekannten Assets, aber Schatten-Assets befinden sich außerhalb dieses Schutzes, was sie sehr anfällig macht. Dies macht die Schatten-IT zu einem häufigen Angriffspunkt für Angreifer... und sie müssen nur mit einem Asset erfolgreich sein, um in Ihre IT-Umgebung einzudringen.

Aber selbst wenn Sie das Glück haben, einem Cyberangriff zu entgehen, kostet Schatten-IT immer noch Geld. Ein Beispiel: Ein Team kauft ein SaaS-Abonnement für ein Tool, das ihm besser gefällt als das von der IT-Abteilung für das Unternehmen lizenzierte - das von der IT-Abteilung gezahlte Geld ist dann völlig verschwendet. Außerdem werden durch das Tool, das das Team gekauft hat, wahrscheinlich Budgetmittel von einem anderen Teil des Unternehmens oder von einem anderen Projekt abgezogen, das stattdessen davon hätte profitieren können. Stillgelegte Dienste oder vergessene Anlagen können ebenfalls einen hohen Preis haben. Um beim SaaS-Beispiel zu bleiben: Nehmen wir an, das Team wechselt und neue Teammitglieder nutzen die vom Unternehmen genehmigte Software... nur schaltet niemand das nicht genehmigte Abonnement ab. Es könnte Jahre (oder nie) dauern, bis jemand merkt, dass das Unternehmen für einen Dienst bezahlt, den niemand nutzt. Stellen Sie sich nun vor, dass sich dieses Szenario im gesamten Unternehmen ständig wiederholt. Jahrzehntelang.

Können Sie Schatten-IT verhindern?

Prävention beginnt mit Aufklärung. Es gibt Schritte, die Sie unternehmen können, um Ihre Mitarbeiter über Schatten-IT aufzuklären und die Wahrscheinlichkeit zu verringern, dass sie diese einführen:

  • Geben Sie in den Cybersicherheitsrichtlinien Ihres Unternehmens strenge, klare Richtlinien für Schatten-IT vor. Arbeiten Sie mit der Personalabteilung und leitenden Angestellten zusammen, um alle Ebenen des Unternehmens über die Risiken der Schatten-IT aufzuklären und zu informieren.
  • Einführung eines transparenten Genehmigungsverfahrens.
    • Definieren Sie einen Zeitplan für Genehmigungen (z. B. 24, 48 oder 72 Stunden). Dies schafft klare Erwartungen und verringert das Gefühl der Unsicherheit in Bezug auf die Wartezeiten.
    • Volle Sichtbarkeit gewährleisten über genehmigte und abgelehnte Artikel und die Gründe für die Ablehnung. Dadurch werden die Mitarbeiter ermutigt, nach genehmigten Werkzeugen zu suchen und die Zahl der Wiederholungsanträge zu verringern. Weniger Anträge verkürzen auch die Genehmigungszeiten.
  • Angemessene Schulungen zu den Werkzeugen, damit die Mitarbeiter die vom Unternehmen genehmigten Werkzeuge sicher verwenden können.

ETI ist der erste Schritt zur Eliminierung

Richtlinien und Präventivmaßnahmen sind wichtig, aber sie werden die Schatten-IT niemals vollständig beseitigen. Deshalb ist es wichtig, die damit verbundenen Risiken proaktiv zu managen, indem man eine robuste External Threat Intelligence-Strategie anwendet.

Nur wenn Sie einen vollständigen Überblick über alle Ihre Anlagen und Zugangspunkte haben, unabhängig davon, ob sie direkt mit Ihrem Netzwerk verbunden sind oder nicht, können Sie Ihr Unternehmen vor den Kosten und Risiken schützen, die mit Schatten-IT verbunden sind. 

In der Cybersicherheitsbranche besteht der gängigste Ansatz darin, nach außen gerichtete Anlagen über Verbindungen zu bekannten Anlagen wie dem Domänennamen des Unternehmens zu identifizieren. Dies ist ein einfacher, solider Ansatz, und jedes Unternehmen sollte eine Strategie verfolgen, die mindestens so weit geht. CybelAngel geht sogar noch weiter. CybelAngel fügt eine Komponente zum Abgleich von Schlüsselwörtern hinzu, um externe Ressourcen durch den Abgleich mit Schlüsselwörtern in SSL-Zertifikaten und Bannern zu identifizieren. Diese Kombination von Methoden bietet einen umfassenden Überblick über Ihre externe Angriffsfläche, so dass Sie die vorhandenen Schwachstellen vollständig verstehen und beseitigen können.

Kürzlich, Mit diesem Ansatz konnte CybelAngel eine stillgelegte virtuelle Maschine identifizieren, die das Unternehmen $50.000 pro Jahr für das Hosting auf Azure kostete.-Kosten, die mit anderen Instrumenten in den letzten drei Jahren nicht ermittelt werden konnten. Wenn Sie mehr erfahren möchten, können Sie sich gerne an uns wenden.

 

Über den Autor

Orlaith Traynor

Orlaith ist eine in Paris ansässige B2B-Content-Marketing-Strategin, die sich auf Cybersicherheit und Technologie spezialisiert hat und über fundierte Kenntnisse in SEO, AEO, Redaktionsplanung und CMS-Management verfügt. Als Content-Leiterin bei Unternehmen wie CybelAngel und PhantomBuster unterstützt sie Technologiemarken bei der Entwicklung von Content-Strategien, die die organische Sichtbarkeit und das Vertrauen der Käufer in wettbewerbsintensiven Märkten fördern.

lies alle Artikel