Vorsicht, Schatten-IT!

Cloud-Anwendungen sind allgegenwärtig und machen Unternehmen flexibler, produktiver und wirtschaftlicher – vorausgesetzt, das IT-Team hat jederzeit den Überblick darüber, wer welche Cloud-Applikationen nutzt. Geht die Transparenz verloren, drohen teure Sicherheits- und Compliance-Verstöße. Unsere Controlware Experten verraten, wie Unternehmen unerwünschten Cloud-Diensten erfolgreich einen Riegel vorschieben.

Der Siegeszug der Cloud schreitet unaufhaltsam voran: In nahezu jedem Unternehmen nutzen Mitarbeiter aller Abteilungen inzwischen Cloud-basierte Services, um effizient und komfortabel zu arbeiten. Die SaaS-Dienste werden häufig ohne Wissen und Betreuung durch die zentrale IT von Projektgruppen, Business-Verantwortlichen oder einzelnen Mitarbeitern geordert und implementiert. Und genau das wird für Unternehmen mehr und mehr zu einer Herausforderung. Denn auf diese Weise entsteht hinter den Kulissen der Fachabteilungen rasch eine riskante und intransparente „Schatten-IT“, die die Angriffsfläche enorm vergrößert, gefährliche Angriffspunkte bietet und die durchgängige Einhaltung der Compliance-Vorgaben schlichtweg unmöglich macht.

Die Risiken der Schatten-IT

Die größte Gefahr der Schatten-IT liegt darin, dass die IT-Abteilung nur noch am Rande erfährt, welche Cloud-Dienste von welchen Mitarbeitern aktiviert und genutzt werden: Wenn beispielsweise das Marketing die Druckdaten des Geschäftsberichts über private Dropbox- oder Wetransfer-Konten an die Druckerei übergibt, der Vertriebsmitarbeiter seine Kundenliste in Google-Docs bearbeitet oder die Geschäftsführung vertrauliche Angebote online in PDFs konvertiert, werden die Sicherheitsbeauftragten kaum noch in der Lage sein, die Einhaltung der Datenschutz- und Compliance-Vorgaben zu garantieren. Aufgrund der fehlenden Transparenz und Sichtbarkeit häufen sich zudem die Fälle, in denen sensible Firmendaten, Details über Kunden oder Geheimnisse aus Forschung und Produktion in einem Cloud-Service verschwinden.

Nicht jede Anwendung ist legitim

Hinzu kommt, dass längst nicht alle Anwendungen in der Schatten-IT auch sicher, erwünscht und legitim sind. Selbst im harmlosesten Szenario – wenn ein Mitarbeiter eine professionelle, aber für Consumer ausgelegte Cloud-App nutzt – werden die Zugriffe in der Regel bei Weitem nicht so gut geschützt sein wie in einem Corporate-Account. Noch gefährlicher wird es, wenn Cloud-Apps zwar grundsätzlich unbedenklich, aber etwa nicht DSGVO-konform sind, weil die Datenverarbeitung in einem unsicheren Drittland erfolgt. Der Worst Case schließlich ist, dass Mitarbeiter auf eine scheinbar legitime, in Wirklichkeit aber kriminelle Cloud-App hereinfallen – und Business-kritische Informationen bedenkenlos an Hacker übergeben.

Die Kontrolle zurückgewinnen

Doch wie können sich Unternehmen vor diesen Gefahren schützen? Ganz einfach: Im ersten Schritt gilt es, die lückenlose Transparenz über ihre Anwendungslandschaft zurückzuerhalten. Das gelingt am besten im Rahmen eines so genannten Cloud-Audits, bei dem ein ausführliches Nutzungsprofil

der im Unternehmen verwendeten Cloud-Services erstellt wird – in der Regel vollkommen anonymisiert.

Wichtig zu wissen: Ein solches Schatten-IT-Audit erfordert keinen Eingriff in Ihre IT-Architektur und lässt sich in der Regel mit überschaubarem Aufwand durchführen: Dabei werden zunächst die Log-Daten der vorhandenen Firewall- und Proxy-Umgebung in das Audit-Tool eingelesen und auf Wunsch anonymisiert. Dann werten unsere Experten die Daten für Sie aus und stellen Ihnen einen ersten Vorab-Bericht zur Verfügung.

Diese erste Analyse ist für die meisten IT- und Security-Teams zunächst ein Schock: Die Anzahl der aufgerufenen Cloud-Dienste liegt nicht selten um den Faktor fünf bis zehn höher als erwartet. Hinzu kommt, dass zu jedem gefundenen Cloud-Dienst auch eine spezifische Risiko-Einschätzung mitgeliefert wird, und auch die gibt häufig Anlass zur Sorge – immerhin ist das Gros der Schatten-Dienste unbekannt, unerwünscht und ungesichert.

Weichenstellung für künftige Verbesserungen

Spätestens auf den zweiten Blick erweist sich der detaillierte Audit-Report als das, was er ist: eine sehr gute Ausgangsbasis, um die gefährlichsten Cloud-Dienste priorisiert zu unterbinden und angemessene Folgemaßnahmen für eine sichere Cloud-Nutzung einzuleiten. Auf Wunsch stellen wir Ihnen darüber hinaus gerne einen noch tiefergehenden Gesamtbericht zur Verfügung, der die Erkenntnisse und Risiken im Detail erläutert. Dabei hat es sich unserer Erfahrung nach bewährt, diese Ergebnisse allen Beteiligten bei einem Vor-Ort-Termin vorzustellen, um gemeinsam die Weichen für zeitnahe Verbesserungen zu stellen.

Vorteile eines Schatten-IT-Audits

Übersicht über alle genutzten Cloud-Dienste im Unternehmen

Granulare Risiko-Einschätzung pro Cloud-Dienst dank einer Vielzahl mitgelieferter Auswertungskriterien

Vorschläge zur Nutzung von alternativen Cloud-Services dank Kategorisierung

Priorisierung von Folgemaßnahmen dank Risk-Ranking

Das Audit kann einmal bzw. kontinuierlich durchgeführt werden

Erweiterung um Anomalie-Erkennung, Policy-Enforcement und Daten-Verschlüsselung möglich