Was ist Shadow-IT?

In Kurz: Shadow IT sind IT-Ressourcen, die potentielles Sicherheitsrisiko sind und dem Unternehmen komplett unbekannt sind - daher also schwer zu schützen sind.

Als Shadow IT werden digitale Systeme - Anwendungen, Geräte, Server, API und Dienste - bezeichnet, deren Existenz dem Unternehmen nicht bekannt sind. Shadow IT entsteht oft, wenn IT-Abteilungen sehr schnell wachsen, interne und externe Mitarbeiter zu viele Rechte bekommen und übereifrig sind, wenn es darum geht, neue Technologien zu nutzen. Die IT-Abteilung kann nicht alle Anfragen bearbeiten, und die Mitarbeiter suchen nach schnellen Lösungen, um ihre Arbeit zu erledigen. Sie verwenden dann ihre eigenen Geräte, Anwendungen und Dienste, um ihre Arbeit zu erledigen. Weitere Beispiele sind Cloud-Anbieter, wie AWS oder Google. IT-Mitarbeiter bekommen Rechte eigene EC2-Instanzen zu starten, ohne dass das IT-Management davon weiß. Sie nutzen diese und vergessen sie wieder schnell. Problematisch wird Shadow IT, weil meist nicht die gleichen sicherheitstechnischen Regeln an die Erstellung und Nutzung der Ressourcen eingehalten werden, wie es in der IT-Abteilung bzw. internen bekannten Ressourcen der Fall ist.

Was sind die Risiken von Shadow IT?

Genauso schnell, wie Server aufgesetzt werden, werden sie wieder vergessen und existieren vor sich hin - das klassische Beispiel von Shadow IT. Sie werden von der IT nicht überwacht und sind Angriffen oft komplett schutzlos ausgeliefert. Mit der Zeit werden diese Ressourcen verwundbar und kompromittiert. Das Ergebnis sind Datenverluste - weil beispielsweise ein IT-Mitarbeiter auf genau diese System "zum Testen" echte Daten von Kunden hochgeladen hat. Auch das Thema Compliance spielt eine große Rolle. Unternehmen haben oft ein Regelwerk bzw. Datenschutz und IT-Sicherheit. Diese Regeln gelten aber nur für die bekannten Systeme. Die unbekannten Systeme sind nicht geschützt und können gegen die Regeln verstoßen. Das kann zu hohen Strafen führen. Allgemein ist es problematisch, wenn IT-Ressourcen nicht auf dem Radar der IT-Abteilung sind. Was man nicht kennt, kann man nicht schützen.

Wie kann man sich als Unternehmen vor Shadow IT schützen?

Es lohnt sich IT-Mitarbeiter - interne und externe - mit diesem Thema zu konfrontieren und ihnen die Gefahren aufzeigen. Monitoring und Netzwerkanalyse erlauben es außerdem potentielle Shadow IT frühzeitig zu erkennen. Neben interner Shadow IT, spielt die externe Shadow IT eine sehr große Rolle, da diese von jedem angegriffen werden kann. Gute Lösungen im Bereich External Attack Surface Management helfen dabei, die eigene Angriffsfläche zu kennen und zu schützen. Als Beispiel sei hier unsere Sicherheitsplattform Argos genannt, das täglich die gesamte Cloud von Amazon und Google abscannt, um nach Systemen zu suchen, die ggf. zu Kunden zugeordnet werden können. SSL-Zertifikate sind hier ein guter Anhaltspunkt.

Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.

Hast du Feedback zum Thema Shadow-IT? Schreib uns!

Damian Strobel
DSecured ist darauf spezialisiert Shadow IT in Unternehmen zu erkennen und zu kontrollieren.