Wenn Sie bei Ihrem IT-Leiter das Thema "Schatten-IT" ansprechen, hält er Ihnen vermutlich einen Vortrag dazu, welchen Vorgaben die Mitarbeiter bei der Nutzung von Cloud-Diensten folgen müssen, um das Unternehmen einem möglichst geringen Risiko auszusetzen. Ohne geeignete Schutzmaßnahmen haben nicht sanktionierte Tools potenziell schwerwiegende Folgen und verursachen unbeabsichtigt Sicherheitslücken. [...]
Aber die Zeiten haben sich geändert. Gartner definiert als „Schatten-IT IT-Geräte, Software und Dienste, die sich außerhalb von Ownership oder Kontrolle der IT des Unternehmens befinden.“ Aktuell arbeiten immer noch und wieder große Teile der Belegschaften remote.
Durch diese Veränderungen fallen etliche Aspekte der täglichen Arbeit in eine dieser Kategorien. Vom häuslichen WLAN-Netzwerk bis hin zu privaten Smartphones oder Tablets, die auch im Job verwendet werden – sie alle befinden sich außerhalb des Einflussbereichs der IT-Abteilung.
Schatten-IT mit mobile Touch
Wenn man über Schatten-IT schreibt, denken die meisten dabei an klassische Beispiele in Zusammenhang mit einer typischen Büroumgebung. Etwa, wenn jemand aus dem Marketing es nicht geschafft hat, die IT zu überzeugen, einen internen Server für eine neue Software einzurichten. Um neue Dienste schneller bereitzustellen, entschließt sich derjenige privat einen Cloud-Computing-Dienst und Speicher einzurichten. Im Alltag kommt es zudem oft genug vor, dass jemand Dokumente von einem gesperrten Arbeits-Notebook per E-Mail an ein privates Gerät schickt, um das Dokument ohne Einschränkungen ausdrucken zu können.
Das Produktivitätsverhalten hat sich geändert. Das ist die Realität. Mit diesen Veränderungen hat die IT die Kontrolle über viele Aspekte des digitalen Arbeitsplatzes verloren. Wenn die meisten Mitarbeiter nicht mehr in einem Büro arbeiten, ist die perimeterbasierte Sicherheit endgültig obsolet. Wahrscheinlich verwendet jeder dieser Mitarbeiter private Mobilgeräte wie Smartphone und Tablet, um weiterhin produktiv arbeiten zu können. Und das ist nur ein Beispiel dafür, wie sich unsere Arbeitsumgebung in den letzten Monaten verändert hat.
Ich habe kürzlich mit einem unserer Kunden aus dem Einzelhandelsbereich gesprochen. Er wusste zu berichten, dass die Mitarbeiter organisch und ohne Wissen des Kunden damit begonnen hatten, WhatsApp auf Tablet-PCs und Smartphones zu verwenden. Einfach, um Kunden zu kontaktieren und den Verkauf am Laufen zu halten. Ein klassischer Fall von Schatten-IT, aber mit einem mobilen Touch. Um weiterhin arbeitsfähig zu sein, haben die Mitarbeiter begonnen nicht autorisierte, private Geräte zu verwenden, um potenziell sensible private und finanzielle Daten über eine nicht genehmigte Messaging-App zu senden und zu empfangen. Obwohl die App über eine End-to-End-Verschlüsselung verfügt, halten diese Mitarbeiter jetzt sensible Daten auf ihren privaten Geräten vor. Dabei sollte man nicht außer Acht lassen, dass die meisten von ihnen auch nicht innerhalb eines schützenden Unternehmens-Perimeters arbeiten.
Die Situation zeigt aber noch etwas anderes. Die Kombination aus mobilen Endgeräten und Remote-Working-Szenarien hat eine Umgebung geschaffen, in der Schatten-IT zu einer bevorzugten Arbeitsumgebung werden könnte. Ohne Transparenz fehlt aber die nötige Kontrolle und Einsicht in mobile Bedrohungen.
Neue Sicherheitsstrategien
Im strengen Sinne betreiben wir derzeit wahrscheinlich alle mehr oder weniger einen Schatten-IT-Betrieb. Wenn wir weiterhin überwiegend von zuhause arbeiten, verwendet jeder von uns Netzwerke, die sich der Kontrolle der IT entziehen. Dazu kommen Smartphones, Tablets oder vielleicht Chromebooks – viele dieser Geräte sind privat und nicht von der IT-Abteilung ausgegeben.
Die aktuelle Situation ist deshalb eine große Chance, die Sicherheitsstrategie eines Unternehmens grundlegend zu überdenken. Verbunden natürlich mit der Überlegung wie man die Produktivität am besten gewährleistet. Denn sie ist der letztendliche Treiber für Schatten-IT. Private mobile Endgeräte erlauben es, Jobanforderungen zu erledigen und gleichzeitig den privaten Alltag zu bewältigen. In aller Regel auf ein und demselben Gerät. Trifft ein Unternehmen die entsprechenden Sicherheitsvorkehrungen, kann es seinen Mitarbeitern die nötige Flexibilität geben, ohne beim Schutz des Unternehmens Kompromisse zu machen.
*Gert-Jan Schenk ist Senior Vice President International bei Lookout.
Be the first to comment