}

Was ist Schatten-IT?

Und wie bekämpfe ich diese?

Was ist Schatten-IT?

Schatten-IT ist ein sehr undurchsichtiger Begriff. Grundsätzlich geht es um die Nutzung von unbefugten (und damit unbeaufsichtigten) informationstechnischen Ressourcen. Die Nutzung von Schatten-IT ist grundsätzlich nicht bösartig. Mitarbeiter gehen diesen Weg, um die tagtäglichen IT-Hürden und ineffizienten Wege zu umgehen. Dabei haben sie keine böswilligen Absichten, sie nehmen nur nicht die Risiken wahr. Denn durch diese Wege entstehen oft große Sicherheitslücken und Risiken für Unternehmen.

Cloudfähig aber mit Sicherheit

Der Einsatz von Schatten-IT hat sich aufgrund der branchenweiten Einführung von Cloud-Services so stark ausgeweitet. Früher wurde durch die IT-Abteilung kontrolliert, auf welche Ressourcen die Benutzer uneingeschränkt Zugriff haben. Das war nicht schwierig, wenn die Abteilung für die direkte Installation und Einrichtung auf jedem Desktop-Gerät verantwortlich war. Es gab schlichtweg keine weit verbreiteten Optionen, die es Mitarbeitern erlaubten, auf Alternativen zuzugreifen und diese zu nutzen. Cloud-Technologien haben die Kontrolle jeder IT-Abteilung massiv beeinträchtigt. Benutzer hatten plötzlich die Möglichkeit, Anwendungen, Speicher und andere Ressourcen einfach in ihre Arbeitsabläufe einzubinden.

Die heutige cloud-basierte IT-Umgebung unterscheidet sich erheblich von der streng kontrollierten, lokalen Infrastruktur von gestern. Mobile Geräte und eine Vielzahl von Plattformen ermöglichen dezentrale Abläufe, die im Wesentlichen den Einsatz von Cloud-Computing an dieser Stelle erfordern. Die Richtlinien von "Bring Your Own Device" (BOYD) erhöhen die Komplexität der Verwaltung persönlicher Smartphones, Tablets und Laptops. Darüber hinaus führen die Mitarbeiter diese dezentralen Arbeitsabläufe häufig außerhalb von Firmennetzwerken und außerhalb der Geschäftszeiten durch. Dadurch werden die Sicherheitsrisiken durch die vergrößerten "Angriffsflächen" weitgehend erweitert. In Anbetracht dieser Entwicklungen wurde kostenlose (und disruptive) Software zunehmend für jeden mit einer Internetverbindung verfügbar gemacht.

Während dieser IT-Änderungen liegt der Fokus auf die Steigerung der Effizienz, Produktivität und Reaktionszeit, denn die Anwender wollen "alles tun" sofort und unabhängig. Um eventuell vorhandene organisatorische Barrieren zu umgehen, verwenden die Benutzer die Schatten-IT. Wenn eine Softwareanwendung für die Mitarbeiter zu umständlich wird, um sie effektiv zu nutzen, greifen sie auf die Vielzahl der verfügbaren Alternativen zurück. Wenn Benutzer beispielsweise mit Skype nicht arbeiten möchten, kann das Team schnell den App-Store durchsuchen, und z.B. Microsoft Teams installieren. Dort sind Slack, Microsofts Teams, Googles Hangout, Facebook Messenger und weitere Optionen leicht verfügbar.

Die Zugänglichkeit von Cloud-Services fördert ein ähnliches Wachstum der Schatten-IT. Da Benutzer auf Dokumente und Daten über zahlreiche Geräte und Standorte hinweg zugreifen müssen, bietet Cloud-Storage die sofortige Antwort. Zwischen Google Drive, Dropbox und anderen IT-Services kann jeder Mitarbeiter eine Dateifreigabe einrichten. Mitarbeiter können diese oft kostenlos als persönliche Konten einrichten. Geringe Kosten beseitigen die IT-Herausforderung.

HelloID Whitepaper

Erhöhte Sicherheit und Compliance durch Single Sign-On.

HelloID ist eine IDaaS Cloud-basierte Identitäts- und Zugriffsmanagement-Lösung (IAM), die Single Sign-On als Teil ihrer Funktionen bietet. Die SSO-Lösung stellt sicher, dass Ihre Mitarbeiter über ein Portal auf alle ihre Geschäftsanwendungen und -daten zugreifen können. Dafür benötigen Sie nur einen Benutzernamen und ein Passwort.

Erhalten Sie unter anderem Antworten auf folgende Fragen:

  • Warum sollten Sie ein IDaaS-Tool wie HelloID nutzen?
  • Die 3 Stufen von HelloID Access Management
    • Authentifizierung
    • Dashboard
    • Cloud Single Sign-On
  • Employee Self Service und Workflow Management
  • Selbständiges Data Management durch die Mitarbeiter
  • Warum ist IAM in der Cloud eine zukunftsweisende Lösung?

Videos zu Single Sign-On

Dieses Video zeigt Ihnen wie das SSO-System funktioniert und Sie mittels Self-Service ihren Arbeitsalltag erleichtern. Geben Sie Benutzern mit einem einzigen Bneutzernamen und Passwort über standardisierte SSO-Protokolle Zugrif auf ihre Cloud-Anwendungen. .

QR Code Login & Chromebook Integration

Benutzer können sich bei HelloID einfach mit einem QR-Code auf ihrem Badge anmelden. Dies ist besonders für jüngere Schüler oder Benutzer geeignet, die Probleme mit komplexen Passwörtern haben. Dies kann über den Anmeldebildschirm von Chromebook oder von jedem Gerät mit einer webfähigen Kamera aus erfolgen.

HelloID Single Sign-On Demonstration

In diesem Video zeigen wir Ihnen, wie HelloID ein zentrales Portal für alle Ihre SSO-fähigen Anwendungen bereitstellt.

Sicherheits- und Compliance Risiken

Benutzer haben oftmals verschiedene Gründe, Daten und Dokumente des Unternehmens auf die Cloud hochzuladen. Beispielsweise möchten Sie am Wochenende z.B. zu Hause vorarbeiten? Sie möchten einige Forschungsmaterialien und Projektarbeiten hochladen? Sie haben eine Präsentation beim Kunden vor Ort? Sie laden die Materialien als Backup hoch, falls etwas schief geht? Und genau, dieses Speichern all dieser Daten an nicht überwachten (oft öffentlichen) Cloud-Standorten führt zu erheblichen Sicherheitsrisiken.

Wenn Mitarbeiter Unternehmensdaten und Dokumente außerhalb der geschützten, offiziellen Standorte austauschen, verliert das Unternehmen die Kontrolle darüber. Viele Datenschutzbestimmungen erfordern eine strenge Datenkontrolle, um die Konformität zu gewährleisten. Wahrscheinlich fehlt den meisten Unternehmen das Wissen darüber, welche Schatten-IT-Ressourcen Mitarbeiter verwenden oder was hochgeladen wurde. Sobald die Daten außerhalb der Kontrolle des Unternehmens liegen, werden sie nicht nur anfälliger für Hacker-Angriffe, sondern verschärfen auch möglicherweise organisatorische Eingriffe. Darüber hinaus können IT-Ressourcen, selbst über legitime App-Stores, Malware enthalten.

Die Angriffe gegenüber Einzelpersonen sind heutzutage keine Seltenheit mehr. Manchmal kommt der Angriff durch Fahrlässigkeit oder Unglück zustande. Die von Equifax gestohlenen personenbezogenen Daten (PII) und Kreditdaten dienen als Paradebeispiel. Die Neigung Passwörter über mehrere Konten hinweg wiederzuverwenden, macht sie anfällig und erhöht das Risiko einer Sicherheitsverletzung. Die Speicherung von Unternehmensdaten in persönlichen Konten macht diese Informationen anfällig, auch wenn ein Dritter dafür verantwortlich ist.

Ebenso kann Schatten-IT, wenn Ihr Unternehmen eine Cyber-Attacke erleidet, Unternehmensdaten preisgeben, die ansonsten geschützt wären. Das mehrmalige Verwenden von Passwörtern geht nach Feierabend immernoch weiter. Schatten-IT kann Kopien sensibler Daten sehen, die normalerweise erhöhte Berechtigungen erfordern und an viel weniger sicheren Orten gespeichert sind. Die Sicherheitsbemühungen Ihres IT-Teams sind vergeblich, wenn jemand geschützte Daten mit einem kompromittierten Passwort auf ein Konto hochgeladen hat.

Unsere Lösung: Starke Passwörter sind dann erfolgreich, wenn sie durch Single-Sign On oder 2FA (MFA) ergänzt werden. Sie bieten einen zusätzlichen Sicherheitsfaktor und optimale Benutzerfreundlichkeit an.

Beste Absichten und Early Adopters

Die Nutzung von Schatten-IT durch die Mitarbeitern ist wie erwähnt, keineswegs böswillig, sondern eher "gut" gemeint. Hierbei sind oftmals die Insider eine große Schwachstelle. Wie bereits erwähnt, greifen Benutzer typischerweise auf Schatten IT zurück, wenn bestehende Prozesse zu umständlich und ineffizient sind. Sie suchen oft eine effizientere oder einfachere Methode, um ihre Aufgaben und Verantwortlichkeiten zu erfüllen. Dies liegt möglicherweise noch nicht mal an der Software selbst. Wenn Ihre Mitarbeiter der Meinung sind, dass Ihre Anfrage-/Genehmigungsprozesse zu lange dauern, möchten sie diese vollständig umgehen.

Häufig verwenden "Early Adopter"-Benutzer Schatten-IT an. Wenn ihr Unternehmen noch keine der verfügbaren Lösungen für eine bestimmte Aktivität implementiert hat, wird er eine finden. Software-as-a-Service (SaaS)-Anwendungen und Cloud-basierte Anwendungen werden aus diesem Grund häufig eingesetzt. So kann beispielsweise Google Docs einem Team eine einfache Möglichkeit bieten, an demselben Dokument zu arbeiten. Einige Unternehmen wissen vielleicht sogar von der regelmäßigen Nutzung der Schatten-IT durch ihre Mitarbeiter, was aufgrund der erhöhten Produktivität informell möglich ist.

Wie Sie die Schatten-IT für sich nutzen können

Ein konsequentes Vorgehen gegen die Schatten-IT wird aufgrund der einfachen Bedienbarkeit und Bekanntheit oft zu einem vergeblichen Kampf. Der Crossover bei Geräten und Anwendungen zwischen Arbeit und Privatgebrauch bietet dem Benutzer leicht die Möglichkeit, Alternativen auszuprobieren. Allerdings könnte dahinter auch eine Chance stecken, die durchaus einen technolgischen Forschritt im Unternehmen vorantreiben könnte. Wenn diese Plattformen offiziell angenommen und überwacht werden, können sie massive Vorteile bringen. Einer Ihrer Benutzer wird vielleicht ein IT-Tool entdecken, das die Abläufe in seinem Bereich erheblich optimiert.

Die Best-Practices von Schatten-IT basieren auf einem Prozess, der die Benutzer ermutigt, neue Plattformen zur Überprüfung und Implementierung in die IT einzubringen. Auf diese Weise können Benutzer weiterhin die besten Tools ausfindig machen und gleichzeitig Schritte unternehmen, um sie innerhalb des Unternehmens richtig einzusetzen. Eine andere Methode wäre die ordnungsgemäße Verschlüsselung der Daten. Die zusätzliche Sicherheit bietet dennoch Schutz, falls die Daten außerhalb des Firmennetzwerks gespeichert werden. Schatten-IT ist die Realität für nahezu alle Unternehmen in jeder Branche. Sie können ununterbrochen dagegen angehen oder Wege finden, die Vorteile zu nutzen und somit ihr Risiko minimieren.

Ist dieses Produkt das richtige für mein Unternehmen?

Bei Softwarelösungen gibt es nur einen Weg das herauszufinden: anschauen und testen. Nehmen Sie sich einfach ca. 30 Minuten Zeit für eine Online-Präsentation mit einem unserer Berater.

Nach der Präsentation, wissen Sie ob unsere Lösung überhaupt die Richtige für Sie ist. Sie bekommen eine Hausnummer für Ihr Budget und Sie entscheiden wie es weiter geht. Vielleicht eine Präsentation für eine größere Runde? Eine Teststellung? Ein unverbindliches Angebot?

Machen Sie gerne einen Terminvorschlag!