Was ist Schatten-IT und warum ist sie so riskant?
- 01/07/2022
- Gepostet von: Schlumpf
- Kategorie: IT-Sicherheit
Schatten-IT bezieht sich auf die Praxis von Benutzern, die nicht genehmigte Technologieressourcen einsetzen, um ihre IT-Abteilung zu umgehen. Benutzer können auf Schatten-IT-Praktiken zurückgreifen, wenn sie das Gefühl haben, dass die bestehenden IT-Richtlinien zu restriktiv sind oder sie daran hindern, ihre Arbeit effektiv zu erledigen.
Ein Phänomen der alten Schule
Schatten-IT ist nicht neu. Im Laufe der Jahre gab es unzählige Beispiele für den weit verbreiteten Einsatz von Schatten-IT. In den frühen 2000er Jahren zögerten beispielsweise viele Unternehmen bei der Einführung von Wi-Fi, weil sie befürchteten, dass dies ihre Sicherheitsbemühungen untergraben könnte. Die Benutzer wollten jedoch die Bequemlichkeit der drahtlosen Gerätenutzung und richteten oft drahtlose Zugangspunkte ein, ohne das Wissen oder die Zustimmung der IT-Abteilung zu haben.
Das Gleiche geschah, als das iPad populär wurde. Die IT-Abteilungen untersagten weitgehend die Verwendung von iPads mit Geschäftsdaten, da sie nicht in der Lage waren, Gruppenrichtlinieneinstellungen und andere Sicherheitskontrollen auf die Geräte anzuwenden. Dennoch ignorierten die Nutzer oft die IT-Abteilung und verwendeten das iPad trotzdem.
Natürlich fanden die IT-Experten schließlich heraus, wie man iPads und Wi-Fi sichern kann, und machten sich die Technologie schließlich zu eigen. Die Nutzung von Schatten-IT ist jedoch nicht immer mit einem Happy End verbunden. Benutzer, die Schatten-IT nutzen, können einer Organisation unwissentlich irreparablen Schaden zufügen.
Dennoch besteht das Problem der Schatten-IT-Nutzung auch heute noch. Wenn überhaupt, hat die Schatten-IT-Nutzung in den letzten Jahren zugenommen. Im Jahr 2021 beispielsweise stellte Gartner fest, dass zwischen 30 und 40 % aller IT-Ausgaben (in großen Unternehmen) in die Finanzierung von Schatten-IT fließen.
Schatten-IT ist 2022 auf dem Vormarsch
Fernarbeit nach der Pandemie
Ein Grund für den Anstieg der Schatten-IT ist die Fernarbeit. Wenn Benutzer von zu Hause aus arbeiten, ist es für sie einfacher, der Aufmerksamkeit der IT-Abteilung zu entgehen, als wenn sie versuchen würden, unerlaubte Technologien vom Firmensitz aus zu nutzen. Eine Studie von Core hat ergeben, dass die Nutzung von Schatten-IT aufgrund von COVID-Anforderungen um 59 % gestiegen ist.
Die Technik wird für die Endbenutzer immer einfacher
Ein weiterer Grund für die Zunahme der Schatten-IT ist die Tatsache, dass es für einen Benutzer einfacher denn je ist, die IT-Abteilung zu umgehen. Nehmen wir einmal an, ein Benutzer möchte eine bestimmte Arbeitslast bereitstellen, aber die IT-Abteilung lehnt die Anfrage ab.
Ein entschlossener Benutzer kann einfach seine Firmenkreditkarte verwenden, um ein Cloud-Konto einzurichten. Da dieses Konto als unabhängiger Mieter existiert, hat die IT-Abteilung keinen Einblick in das Konto und weiß möglicherweise nicht einmal, dass es existiert. So kann der Benutzer seine nicht autorisierte Arbeitslast ungestraft ausführen.
Eine Studie aus dem Jahr 2020 ergab, dass 80 % der Arbeitnehmer zugaben, nicht autorisierte SaaS-Anwendungen zu nutzen. Dieselbe Studie ergab auch, dass die Schatten-IT-Cloud eines durchschnittlichen Unternehmens 10 Mal größer sein könnte als die genehmigte Cloud-Nutzung des Unternehmens.
Kennen Sie Ihr eigenes Netzwerk
Angesichts der Leichtigkeit, mit der ein Benutzer Schatten-IT-Ressourcen bereitstellen kann, ist es für die IT-Abteilung unrealistisch anzunehmen, dass es keine Schatten-IT gibt oder dass sie in der Lage sein wird, die Nutzung von Schatten-IT zu erkennen. Die beste Strategie kann daher darin bestehen, die Benutzer über die Risiken der Schatten-IT aufzuklären. Ein Benutzer, der nur über begrenzte IT-Kenntnisse verfügt, kann durch die Nutzung von Schatten-IT ungewollt Sicherheitsrisiken einführen. Einem Bericht von Forbes Insights zufolge beziehen 60 % der Unternehmen Schatten-IT nicht in ihre Bedrohungsanalysen ein.
Ebenso kann die Nutzung von Schatten-IT eine Organisation vorschriftsmäßigen Strafen aussetzen. In der Tat sind es oft Compliance-Auditoren – und nicht die IT-Abteilung – die die Nutzung von Schatten-IT entdecken.