Was ist Schatten-IT?

Unter Schatten-IT ist die Nutzung von IT-Software, -Geräten, -Systemen oder -Anwendungen durch Abteilungen oder Einzelpersonen innerhalb eines Unternehmens ohne die ausdrückliche Zustimmung oder das Wissen der IT-Abteilung dieses Unternehmens zu verstehen. Die Nutzung von Schatten-IT-Anwendungen hat in den letzten Jahren erheblich zugenommen, was in erster Linie auf die zunehmende Arbeit im Homeoffice und die Nutzung von Cloud-basierten Services und Anwendungen zurückzuführen ist. Schatten-IT kann zwar die Produktivität und Innovationen beschleunigen, aber auch ernsthafte Sicherheitsrisiken und Compliance-Probleme mit sich bringen, insbesondere wenn Daten an Orten gespeichert werden, die der IT-Abteilung nicht bekannt sind. 

Beispiele für Schatten-IT-Anwendungen und -Aktivitäten

Eine Anwendung, die für geschäftliche Zwecke genutzt wird, ohne dass die IT-Abteilung des Unternehmens eingebunden ist, kann als Schatten-IT-Anwendung bezeichnet werden. 

Schatten-IT-Anwendungen lassen sich in vier Hauptkategorien unterteilen:

• Cloud-basierte Anwendungen, auf die Benutzer direkt über das Unternehmensnetzwerk zugreifen.
• Cloud-basierte Anwendungen, auf die Benutzer über SaaS-Anwendungen wie Microsoft Office 365 oder Google Workspace zugreifen.
• Standard-Software, die von einer Abteilung oder einem Endbenutzer erworben und in das System geladen wird (heute weniger üblich).
• Individuell entwickelte Software, die auf dem Unternehmens-Laptop einer Einzelperson ausgeführt wird.

Beispiele für Schatten-IT-Aktivitäten:

• Das Herunterladen und die unbefugte Nutzung von Workflow- oder Produktivitäts-Apps wie Trello oder Asana.
• Die Erstellung und Nutzung von Cloud-Workloads, die über persönliche oder abteilungsspezifische Konten oder Anmeldeinformationen eingerichtet werden.
• Unerlaubter Erwerb und/oder unbefugte Nutzung von SaaS-Anwendungen von Drittanbietern oder anderen Cloud-Service-Abonnements, die nicht von der IT-Abteilung eines Unternehmens überwacht werden.
• Nutzung von persönlichen Messaging-Plattformen oder Kommunikationsanwendungen wie WhatsApp oder Signal für die geschäftliche Kommunikation. 
• Verwendung von persönlichen E-Mail-Konten im geschäftlichen Umfeld. 
• Unerlaubte Nutzung von BYODs (Bring Your Own Devices). 

Risiken der Schatten-IT

Es ist schwierig bzw. praktisch nicht möglich, Daten zu schützen, wenn die Mitarbeiter sie an Orten speichern, die nicht unter der Kontrolle Ihres Unternehmens stehen. Die Mitarbeiter der IT-Abteilung können nicht wissen, welche oder wie viele der Kundendaten Ihres Unternehmens gefährdet sind, wenn sie nicht wissen, wo diese Daten gespeichert sind. 

Entsprechend bringt die Schatten-IT hauptsächlich folgende Sicherheitsrisiken mit sich:

Datenverlust

Da Ihr Unternehmen keinen Zugriff auf Daten in privaten Konten oder auf privaten Laptops hat, gehen diese Daten verloren, wenn der Mitarbeiter ausscheidet oder entlassen wird. Da Daten in diesen persönlichen Konten nicht den Unternehmensrichtlinien und -verfahren unterliegen, werden sie möglicherweise nicht gemäß den Unternehmensrichtlinien gesichert, archiviert oder verschlüsselt.

Weniger Transparenz und Kontrolle

Die Schatten-IT stellt nicht nur im Hinblick auf Transparenz und Kontrolle, sondern auch im Hinblick auf Datenverlust ein ernsthaftes Problem dar: Was Sie nicht sehen, können Sie nicht sichern. Die zunehmende Nutzung von Self-Provisioning-Angeboten sorgt zwar möglicherweise für eine höhere Produktivität und ein schnelleres Onboarding, bringt jedoch auch die Dezentralisierung der Ressourcen-Bereitstellung mit sich, was dazu führt, dass die Mitarbeiter der IT-Abteilung kaum noch mitbekommen, was wo mit wem vor sich geht. Zudem hat dies zur Folge, dass es keine zuverlässige zentrale Datenquelle mehr gibt oder dass die Datenquelle beschädigt oder unvollständig ist. 

Erhöhte Anfälligkeit für Cyberangriffe

Jede Schatten-IT-Instanz vergrößert die Angriffsfläche eines Unternehmens, und da Schatten-IT-Anwendungen für die IT-Abteilung nicht sichtbar sind, sind sie auch nicht durch die Cybersicherheitslösungen des Unternehmens geschützt. Hinzu kommt, dass Benutzer von Schatten-IT-Anwendungen häufig schwache Anmeldedaten und Passwörter verwenden, die Cyberkriminelle leicht ausnutzen können, um sich Zugang zu einem Unternehmensnetzwerk zu verschaffen.

Erhöhte Kosten aufgrund von Verstößen

Schatten-IT verursacht für ein Unternehmen häufig indirekte Kosten in Form von Bußgeldern und Strafen und schädigt bei einer Datenkompromittierung den Ruf eines Unternehmens. Auch wenn einige Mitarbeiter zur Kostensenkung auf Schatten-IT zurückgreifen, ist die langfristige Nutzung von Schatten-IT-Anwendungen und -Services wie Daten-Storage häufig nicht kosteneffizient.

Umgang mit den Risiken, die mit Schatten-IT einhergehen, und deren Minderung

Was ist die Hauptursache für Schatten-IT?

Mitarbeiter verfügen nicht über die Dinge, die sie benötigen, um ihre Arbeit bestmöglich zu erledigen. 

Entsprechend liegt die Verantwortung für den Umgang mit der Ausbreitung von Schatten-IT-Instanzen und deren Eindämmung bei den Personen, die dafür verantwortlich sind, dass Mitarbeiter Zugriff auf die Tools, Ressourcen und Services haben, die diese zur Erledigung ihrer Aufgaben benötigen. 

Zur Minderung der Risiken, die mit der Schatten-IT einhergehen, haben Unternehmen folgende Möglichkeiten:

• Schulung von Mitarbeitern im sicheren und ordnungsgemäßen Umgang mit allen Tools und Technologien 
• Durchsetzung von Regeln und Verfahren für die Bereitstellung neuer Services
• Wiederholtes Hinweisen auf Unternehmensrichtlinien (durch Videos, Schulungen usw.) zu den Themen Sicherheit und Compliance

Außer mit den beschriebenen Maßnahmen kann ein Unternehmen die Risiken, die mit der Schatten-IT einhergehen, mit innovativen Technologien wie Pure Storage® FlashArray™ und Snapshots mindern, die in Kombination die Datenverfügbarkeit und -transparenz zur Analyse mehrerer Datenquellen verbessern, wobei die Daten lokal verarbeitet werden. Ein Unternehmen kann mit Daten arbeiten, die direkt im FlashBlade®-Objekt-Storage oder im Pure Cloud Block Store™ in der Cloud gespeichert sind, sodass keine separaten Kopien von Daten erstellt werden müssen, die mit anderen Tools oder Workflows gemeinsam genutzt werden.

Sichern Sie sich das E-Book Snapshots for Dummies.

Erfahren Sie mehr über FlashBlade//S™. 

Laden Sie den gesamten Leitfaden zum Thema Datensicherheit herunter.