In der heutigen, agilen Arbeitswelt nutzen Mitarbeiter eine Vielzahl von Tools, die ihnen ein effektiveres Arbeiten ermöglichen. Das wird dann zum Problem, wenn hierbei die IT-Abteilung umgangen wird und Technologien eingesetzt werden, die von dieser nicht vorher genehmigt wurden – schließlich stellen diese Anwendungen unter Umständen ein massives Sicherheitsrisiko für das Firmennetzwerk dar. Wie weit verbreitet das Problem ist, zeigt eine Studie von KPMG und Bitkom: Laut dem Cloud Monitor 2021 gab jedes zweite der befragten Unternehmen (51 Prozent) an, innerhalb der vorherigen 12 Monate Schatten-IT identifiziert zu haben.
Trotz dessen ist die Verweigerung der Nutzung moderner SaaS-Lösungen für moderne Unternehmen keine Option. Außerdem ist es wichtig zu betonen, dass Firmen Schatten-IT nicht komplett verhindern können. Die Frage, die sich vielmehr stellt, ist: „Wie können Betriebe die Risiken durch Schatten-IT effektiv kontrollieren?“ Die kurze Antwort lautet: Schatten-IT lässt sich managen, indem man die dezentrale Übernahme von SaaS ermöglicht – auf sichere, datenschutzkonforme und optimierte Weise.
Warum ist Schatten-IT ein Problem?
Bevor es allerdings um die Lösung des Problems geht, ist es wichtig, das Problem zu benennen. Was zählt alles als Schatten-IT? Gartner definiert den Begriff als „IT-Geräte, -Software und -Services, die sich außerhalb des Besitzes oder der Kontrolle von IT-Organisationen befinden“. Im konkreten Geschäftsalltag kann dies folgende Szenarien umfassen: Ein Mitarbeiter bringt seinen privaten Laptop mit ins Büro und loggt sich in das Firmennetzwerk ein. Ein Softwareentwickler nutzt APIs ohne entsprechende Berechtigungen für ein Projekt. Ein Büromanager kauft einen Router der Verbraucherklasse in einem Elektronikgeschäft, weil das Team ihn sofort benötigt.
Die häufigste Form der Schatten-IT sind aber die zuvor erwähnten SaaS-Dienste und -Anwendungen. Dies ist auf die starke Verbreitung der Cloud zurückzuführen, da Unternehmen versuchen, ihre Prozesse umzugestalten, um Kunden besser zu bedienen, neue Produkte und Dienstleistungen zu entwickeln und neue Geschäftsmodelle einzuführen. So zeigt etwa der eingangs erwähnte Cloud Monitor 2021, dass die Nutzung von Cloud Computing von 76 Prozent in 2019 auf ganze 82 Prozent in 2021 gestiegen ist. Die Verwendung von SaaS-Diensten, wie zum Beispiel Anwendungen für Kollaboration und Kommunikation gehören bei vielen Unternehmen zum Alltag. Diese Tools lassen sich leicht durch die Mitarbeiter installieren und sind oft benutzerfreundlich gestaltet, sodass sie schnell produktiver arbeiten können. Diese Art der Schatten-IT verbessert nicht nur die Produktivität, sondern gibt Mitarbeitern die Möglichkeit, von überall aus zu arbeiten.
Die Kehrseite der Medaille ist aber, dass das Fehlen klarer Prozesse und der fehlende Überblick es ihnen ermöglicht, dies außerhalb der regulären IT-Kanäle zu tun. Grundsätzlich kann man sagen: In der typischen Firma sind 3- bis 4-mal mehr SaaS-Anwendungen im Einsatz, als der IT-Abteilung bekannt sind. Viele dieser Dienste verfügen über eigene Zugriffskontrollen und Sicherheitsvorkehrungen, die nicht mit den betrieblichen Richtlinien vereinbar sind.
Bei einigen gibt es aber auch überhaupt keine Kontrollen – dazu zählen insbesondere SaaS-Lösungen für Privatanwender, die bei den Mitarbeitern beliebt sind. Beide Szenarien – mit oder ohne Zugriffskontrollen – führen zu Schatten-IT-Risiken. Ohne Sichtbarkeit und Kontrolle über ihre SaaS-Umgebung befinden sich Unternehmen ständig in einem reaktiven Zustand und kämpfen darum, die Kontrolle über ihre Daten und ihre IT-Sicherheit zu erlangen.
Dies sind einige der häufigsten Schatten-IT-Risiken, denen Unternehmen ausgesetzt sind:
Datenverlust und -Kompromittierung
Das größte Risiko beim Thema Schatten-IT besteht darin, dass Mitarbeiter nicht zugelassene SaaS-Dienste für die Kollaboration und die Speicherung sensibler Unternehmensdaten nutzen. Zu den Gefahren gehört hier:
• Das Risiko des unbefugten Zugriffs auf die Daten – sei es durch laxe Sicherheitsvorkehrungen des SaaS-Dienstes oder durch einen Benutzer, der die Daten in unangemessener Weise außerhalb des Unternehmens weitergibt.
• Die Unfähigkeit zur Anwendung von Identitätszugangs- und -Verwaltungsrichtlinien sowie -kontrollen.
• Letztlich dauerhafter Datenverlust, da die meisten Mitarbeiter wahrscheinlich keine Sicherungskopien erstellen.
Nichteinhaltung von (Datenschutz)-Vorschriften
In der Vergangenheit war Compliance vor allem für Unternehmen in stark regulierten Branchen ein Problem. Spätestens seit der Einführung von Datenschutzvorschriften wie der EU-DSGVO spielt die Einhaltung solcher Vorschriften allerdings für jedes Unternehmen eine große Rolle. Doch warum macht Schatten-IT die Compliance zu einer Herausforderung?
• Bei Schatten-IT entzieht sich die eingesetzte Software den Risikobewertungsmaßnahmen in Sachen Datenschutz und Compliance, wie sie für autorisierte Lösungen und Dienste anwendet werden.
• Die mangelnde Überprüfung der nicht genehmigten Dienste verhindert somit ein grundlegendes Verständnis über die IT- und Datenschutzrisiken im gesamten Unternehmen, die erforderlich ist, um die Compliance nachzuweisen.
• Im Falle eines Cyberangriffs oder einer Datenpanne können Betriebe den vollen Umfang und die Auswirkungen des Vorfalls schlecht einschätzen und somit nur langsam reagieren.
IT-Sicherheit
Wie bereits erwähnt, verfügen viele SaaS-Dienste von vornherein nicht über solide Sicherheitsfeatures und da verborgene Anwendungen nicht von der IT-Abteilung verwaltet werden, können Firmen auch nicht die üblichen Schutzmaßnahmen anwenden, die sie für ihre IT-Architektur eingerichtet haben. Zusätzlich zu den Risiken des Datenzugriffs schafft Schatten-IT Sicherheitsrisiken durch folgende Faktoren:
• Ungepatchte Sicherheitslücken
• Schwache, unsichere Passwörter
• Mangelnder Einblick in die vergrößerte Angriffsoberfläche
Diese Sicherheitslücken schwächen die allgemeine IT-Sicherheitslage von Unternehmen und beeinträchtigen ihre Fähigkeit, sich gegen die dynamischen Bedrohungen von heute zu schützen.
Kosten
Schätzungen zufolge wird fast ein Drittel aller betrieblichen SaaS-Lizenzen nicht oder nur unzureichend genutzt, was zu ineffizient eingesetzten und unnötigen Kosten führt. Darüber hinaus greifen einige Firmen beim Versuch, Kontrolle über die Schatten-IT zu übernehmen, auf manuelle Prozesse zurück – einschließlich langwieriger Tabellenkalkulationen, um alle SaaS-Dienste im Auge zu behalten, was zu einer weiteren Belastung der Ressourcen führt.
Es gibt eine Lösung des Problems
Der erste Schritt zur Bewältigung der Risiken durch Schatten besteht für Entscheider darin, einen wirklichen Einblick in ihr SaaS-Ökosystem zu gewinnen, dieses zu überwachen und schließlich richtliniengesteuerte Zugangskontrollen anzuwenden. Hier eignen sich besonders moderne, KI-basierte Lösungen, die die oftmals überlasteten IT-Abteilungen unterstützen. Wenn Verantwortliche das Thema „Identität“, oder noch genauer „Identity Security“ zum Kernstück ihres Risikomanagements machen und ihre SaaS-Anwendungen einem zentralisierten Management- und Governance-Prozess unterstellen, können sie sowohl die Zugangs- als auch die Sicherheitsrisiken der Schatten-IT lösen. Zu den Vorteilen dieses Ansatzes gehören:
• Das Aufdecken von SaaS-Wildwuchs: Firmen sollten alle nicht autorisierten und versteckten Anwendungen aufdecken und sich einen zentralen Überblick über ihren gesamten SaaS-Fußabdruck verschaffen.
• Die Zentralisierung der Kontrolle: Im Idealfall sollten Betriebe hier einen nahtlosen Prozess anwenden, von der Erkennung bis zur Verwaltung, um Identity Security-Steuermechanismen anzuwenden und alle Dienste im Unternehmen zu schützen.
• Die Überwachung der Schatten-IT: Essenziell ist hier außerdem die kontinuierliche Überwachung der SaaS-Nutzung in Echtzeit, um Risiken wirklich zu verstehen und zu mindern.
• Verbesserte Compliance: Außerdem sollten Risiken kalkuliert und Audits optimiert werden, um letztlich die Compliance zu stärken.
• Steigerung der Effizienz: Schließlich sollten Firmen manuellen und fehleranfälligen Prozessen zur Verfolgung und Verwaltung ihrer Anwendungen ein Ende setzen, um personelle und somit auch finanzielle Ressourcen zu sparen.
Durch die Implementierung eines Ende-zu-Ende-Ansatzes für die SaaS-Verwaltung können Unternehmen und Mitarbeiter die Vorteile von SaaS-Diensten durch eine dezentralisierte Übernahme voll ausschöpfen. Gleichzeitig gehen sie keine Kompromisse bei der IT-Sicherheit und der Einhaltung von Datenschutzvorschriften ein und verschwenden keine internen Ressourcen.
Schatten-IT-Risiken bleiben eine Herausforderung
Der moderne Arbeitsplatz entwickelt sich weiter, und viele Unternehmen und Angestellte sehen in dezentralen und hybriden Modellen die Zukunft. Die Cloud macht diesen Wandel möglich, aber Firmen müssen sich gleichzeitig auch mit den Auswirkungen auseinandersetzen. Während SaaS-Dienste Innovationstreiber sind und bleiben, werden Schatten-IT-Risiken auch in der Zukunft eine Herausforderung für die IT-Sicherheit und den Datenschutz darstellen.
Moderne Lösungen, mit denen sich SaaS-Lösungen managen lassen, ermöglichen es Firmen, die Kontrolle über versteckte und nicht autorisierte SaaS-Anwendungen zu übernehmen, so dass sie ihre Datenschutz- und IT-Sicherheitsrisiken auf ein Minimum reduzieren und die Compliance verbessern können. Im Idealfall hilft die Lösung ihnen auch, Ausgaben zu verwalten und IT-Prozesse zu optimieren und zu automatisieren, um die Gesamteffizienz zu verbessern.
Enjoyed this article? Sign up for our newsletter to receive regular insights and stay connected.