Shadow IT – Where once there was darkness

Endpoint Management | Management Suite

Schatten-IT – Wo einst Dunkelheit herrschte

03. November 2020, Avatar of Sean HerbertSean Herbert

Die IT in der Geschäftswelt ist ein schnelllebiges und sich ständig weiterentwickelndes Umfeld. Wird sie richtig gepflegt, wächst und gedeiht sie hervorragend. Ähnlich wie Pflanzen, benötigt auch Ihre Endpoint-Umgebung eine Reihe verschiedener Voraussetzungen, um ordentlich wachsen und gedeihen zu können. Die wohl wichtigste Komponente davon ist Licht. Schatten lässt Pflanzen verkümmern und Ihr Blumenbeet mit Unkraut überwuchern. Übertragen auf die IT sind damit Schwachstellen und Sicherheitslücken in Ihrem System gemeint.

Was genau ist Schatten-IT?

Schatten-IT wird definiert als Systeme, Lösungen und Anwendungen der IT, die innerhalb von Organisationen ohne Zustimmung oder Wissen des Unternehmens eingesetzt werden. Ursprünglich war damit meist Hardware gemeint, von deren Verfügbarkeit niemand wusste. Heute liegt der Schwerpunkt der Schatten-IT mehr und mehr auf Software, da Endpoint-Verwaltung und Netzwerkzugriffslösungen im Laufe der Jahre stark miteinander vernetzt wurden.

Brocade gab eine weltweite Umfrage unter 200 CIOs in Auftrag. In dieser zeigte sich, dass 83 % der befragten Unternehmen bereits irgendeine Form von nicht autorisierter Software-as-a-Service (SaaS)-Nutzung vorgefunden hatten. Sieht man diese Zahl in Kombination mit den Daten aus der Cipher-Cloud, beginnt man zu verstehen, in welchem Umfang Schatten-IT genutzt wird: 80 % der Mitarbeiter und (laut Cisco) selbst 83 % der Supportmitarbeiter nutzen nicht-genehmigte Cloud-Anwendungen.

So dunkel, bedrohlich und vorahnungsvoll Shadow-IT auch klingt – sie stellt für Unternehmen und deren IT-Teams tatsächlich ein weiteres dringliches Problem im Alltag dar. Dieses lässt sich mit den Stichworten Kontrolle, Kosten, Compliance, kompromittierte Sicherheit und Kundenzufriedenheit am besten beschreiben.

Kontrolle – Wie können IT-Teams die vorhandenen Lösungen und Prozesse kontrollieren, wenn sie nicht wissen, was in ihrer Umgebung eingesetzt wird? Wie nützlich ist eine Testumgebung für ein IT-Team, wenn sie keine Anwendungen enthält, die in der Live-Umgebung eingesetzt werden? Eine genaue Kenntnis über die eigene IT-Umgebung stellt sicher, dass Change Prozesse in einer belastbaren Umgebung effektiv gehandhabt werden können. Wenn abtrünnige Anwendungen von Ihrem Server Informationen abrufen, wie können IT-Teams dann realistischerweise wissen, wohin die Geschäftsdaten verschoben wurden?

Kosten – Duplizierung ist teuer. Wenn Sie die genaue Anzahl Ihrer Lizenzen nicht kennen, können Sie auch nicht sicherstellen, dass ein Mengenrabatt bei deren Beschaffung genutzt wird. Unnötige Ausgaben lassen sich mit der Einführung geeigneter Toolsets leicht in den Griff bekommen. Damit können Sie die Kostenauswirkung eines Verstoßes gegen das ICO oder die FTC reduzieren, die laut Gartner im Jahr 2016 35 % der gesamten IT-Ausgaben ausmachten.

Compliance – Es gibt keine Chance eine lizenzkonforme IT-Umgebung zu schaffen, wenn das IT-Team nicht einmal weiß, welche Software im Umlauf ist. Eine einzige nicht genehmigte oder falsche Lizenz kann ausreichen, dass Anbieter eine vollständige Infrastrukturprüfung Ihrer Umgebung in Auftrag geben. Das kostet nicht nur Zeit und Geld in Form von Personal und Ausfallzeiten, sondern es kann auch eine hohe Rechnung für die noch nicht bezahlte Lizenz zur Folge haben.

Gefährdung der Sicherheit – Eine der Top-Prognosen von Gartner für die IT im Jahr 2016 lautete, dass bis 2020 95 % der Sicherheitsausfälle in der Cloud auf Anwenderfehler der Kunden selbst zurückzuführen sein würden. Die Kontrolle und Eindämmung dieses Risikos, bspw. durch den Einsatz von Cloud Access Security Brokern (CASBs) und gründlichen Inventarisierungstools kann helfen, diesen Fallstrick zu vermeiden. Unkontrollierte Anwendungen können auch weitere Auswirkungen haben und die Administration und Standards, in die sie investiert haben (PCI DSS/Cyber Essentials usw.) zunichtemachen, da diese auf einer genauen Darstellung Ihrer IT-Umgebung basieren.

Kundenzufriedenheit – Einer der Hauptanstiege für Shadow-IT ist auf die Zufriedenheit und Flexibilität der Benutzer zurückzuführen. Als Folge von Covid-19 sind Unternehmen gezwungen, ihren Mitarbeitern Mobile Work zu ermöglichen, was für viele Unternehmen völlig neu war. 

  • Wenn Sie ihnen die Möglichkeit wegnehmen, die Anwendungen zu nutzen, die sie produktiv und zufrieden machen, haben Sie unglückliche User.
  • Wenn kein Support für diese Anwendung zur Verfügung steht, haben Sie ebenfalls unglückliche User.
  • Wenn Sie von einer unbekannten Applikation erfahren und durch Änderung in der Umgebung den Endpoint unbrauchbar machen, haben Sie sehr unglückliche User.

Die Kenntnis und Kontrolle darüber, welche User Shadow Apps einsetzen, stellt sicher, dass IT-Teams diese besser unterstützen können und letztendlich einen besseren Support bieten.

 

3 Maßnahmen gegen Schatten-IT

Drei einfache Schritte, um sicherzustellen, dass die Schatten-IT nicht zur Achillesferse in Ihrer ansonsten robusten IT-Infrastruktur wird:

  1. Aufdecken
    Licht ins Dunkel Ihrer Umgebung zu bringen, ist der erste Schritt, um Schatten-IT zu bekämpfen. Der manuelle Ansatz, von Endpoint zu Endpoint zu gehen, ist an diesem Punkt etwas archaisch und offen gesagt unhaltbar. Die Suche nach geeigneten Toolsets ist der Schlüssel zum Erfolg. Es gibt innovative Analyse-Tools, die eingesetzt werden können, um Ihre Endpoint-Umgebung im Stillen zu überwachen. Infrastrukturen sind so einzigartig wie Fingerabdrücke und bringen einzigartige Herausforderungen mit sich. Eine gründliche Inspektion durch gute Inventarisierungstools wird zumindest dazu beitragen, die Umgebung effizient zu kontrollieren und einen Großteil der Probleme durch Schatten-IT zu beseitigen. Der Einsatz von Analysewerkzeugen wird Ihnen darüber hinaus ein klareres Bild davon vermitteln, was genutzt wird. Das ermöglicht Ihnen die Formulierung eines  umfassenden Angriffsplans.
     
  2. Kontrolle übernehmen
    Die Kontrolle über die eigene IT-Umgebung zu übernehmen, kann in vielerlei Formen erfolgen. Software Asset Management (SAM), Mobile Device Management (MDM) und Unified Endpoint Management (UEM) spielen hier die Schlüsselrollen. Sie ermöglichen IT-Teams nicht nur zu erkennen, welche Software verwendet wird, sondern auch, diese zu deinstallieren, neu zu installieren, zu aktualisieren und wenn erforderlich zu patchen. Sobald Sie dieses Level an Kontrolle gewonnen haben, entfernen Sie lokale Admin-Rechte. Je nach Grad der Flexibilität, helfen Sicherheitsfunktionen wie Anwendungs-Whitelisting, um die Einführung neuer Anwendungen oder ausführbarer Dateien in die Umgebung zu reduzieren. Investitionen in CASBs werden in Zukunft von entscheidender Bedeutung sein, da der Einsatz der Cloud in verschiedenen Formen weiter zunimmt. Mit CASBs erhalten Unternehmen Cloud-Sicherheit in vier Bereichen: Sichtbarkeit, Compliance, Datensicherheit und Schutz vor Bedrohungen. Dies ist definitiv ein Wachstumsbereich in der IT-Welt und ein "Muss" für jede Unternehmensumgebung, die in SaaS investiert.
     
  3. Verwalten
    Nutzen Sie die genannten Tools auch, um sicherzustellen, dass die Versionstypen kontrolliert, Patches bereitgestellt, Schwachstellen erkannt und Endpoints kontinuierlich verwaltet werden können. Eine automatisierte Softwarebereitstellung ist besonders hilfreich, um Rollouts standardisiert durchzuführen. Die Implementierung von Self-Service-Bereichen für den User gibt ihnen die Freiheit und Wahlmöglichkeiten einer kontrollierten Umgebung, während gleichzeitig für IT-Teams die Notwendigkeit entfällt, alle Anfragen von Endbenutzern manuell zu bearbeiten. Das Management der IT-Umgebung ist eine teilweise nie enden wollende Aufgabe, die im Laufe der Zeit verfeinert und ständig überwacht werden muss. Nur dann können Sie sicherstellen, dass die von Ihnen eingesetzten Prozesse Ihren Bedürfnissen und Einschränkungen am besten entsprechen.

Der Endbenutzer wird mit der ihm zur Verfügung stehenden IT immer unabhängiger und sachkundiger. Konzepte wie BYOD und SMAC sind nach wie vor wichtige Schlüsselfaktoren für die IT-Innovation im Unternehmen. Schatten-IT wird immer präsent sein, doch Unternehmen, die sich dieser Tatsache bewusst sind, werden auch in der Lage sein, entsprechend zu handeln, alle damit verbundenen Probleme wirksam zu kontrollieren und die potenziellen Vorteile zu nutzen. Damit können effiziente und intelligente Arbeitsmethoden im Unternehmen vorangetrieben werden.

Machen Sie jetzt Schluss mit der Shadow IT und sorgen Sie dafür, dass dort, wo einst Dunkelheit herrschte, jetzt Licht werde.

Mehr lesen?