Viele Unternehmen haben eine Schatten-IT, dies belegt eine Studie der HTWK Konstanz. Durch Cloud Dienste wird dieses Phänomen noch weiter gefördert. Doch was ist der richtige Umgang mit derartigen Diensten? Die Studie belegt, dass rund die Hälfte der Systeme Sicherheitsrisiken aufweisen, welche einer Absicherung bedürfen. Jedoch zeigte sie auch, dass fast alle Systeme der Wertschöpfung dienten.

Was ist Schatten-IT und welche Risiken gibt es?

Schatten-IT ist die Nutzung von Informationssystemen durch Fachabteilungen oder Nutzer ohne Einbindung und Kenntnis der Unternehmens-IT. Beispiele hierfür sind die  Kommunikation von Nutzern über betrieblich Belange mittels öffentlicher Infrastrukturdienste (z.B. Chat oder E-Mail). Dabei werden auch vertrauliche Belange diskutiert, was ein hohes Datenverlustrisiko birgt. Weitere Services (z.B. Dropbox) sorgen für die Verlagerung von Daten in externe Bereiche. Die Kontrolle über die eigenen Daten ist hierbei beschränkt.

Ferner werden die Eigentums-  und Urheberrechte teilweise massiv eingeschränkt. Hierbei sind häufig personenbezogene oder betriebliche Daten betroffen. Diese unterliegen jedoch dem Bundesdatenschutzgesetz (BDSG) und müssen vor unbefugten Dritten geschützt werden. Bei Zuwiderhandlungen droht ein Imageverlust, Bußgelder bis 300.000,– € sowie eine Anzeigepflicht.

Handelt es sich um eine geschlossene Plattform, stellt sich schnell die Frage nach administrativen Tätigkeiten. Wer ist für die Berechtigungsvergabe zuständig? Wie wird mit Zugängen umgegangen, wenn ein Mitarbeiter das Unternehmen verlässt? Wer kann Berechtigungen vergeben und nach welchen Vorgaben? Besteht eine Dokumentationspflicht? Hierfür sollte zwingend die IT-Abteilung einbezogen werden.

Doch wie findet man Cloud Services und Mitarbeitergeräte im Unternehmen?

Zentrale Gateways können beim Auffinden derartiger Cloud Services hilfreich sein. Hierfür bietet sich die sogenannte Applikationskontrolle an, welche auf vielen Firewalls mittlerweile per Lizenz freischaltbar ist. Hierbei werden die übertragenen Daten auf Protokoll-Ebene analysiert. So können auch Applikationen wie z.B. Skype problemlos klassifiziert werden. Diese Systeme haben vorgefertigte Kategorien wie z.B. „Chat“ oder „Sync & Share“, welche ein Großteil der am Markt befindlichen Produkte erkennen kann. Die Verfahrensweise ist dann individuell zu definieren. Für den Anfang reicht ein bloßes Protokollieren, um eine Bestandsaufnahme der genutzten Dienste zu erstellen. Hiermit können die entsprechenden Fachabteilungen/Nutzer kontaktiert werden, um einen entsprechenden Konsens zu finden. Dies setzt jedoch ggf. die Kooperation mit dem Personal oder Betriebsrat voraus. Ferner erlaubt die Applikationskontrolle ein granulares Filtern, um den Nutzer einzubeziehen.

Hierbei besteht die Möglichkeit, die Dienste weiter zu protokollieren, den Nutzer entscheiden zu lassen oder zu blockieren. Somit können Dienstanweisungen überprüft und durchgesetzt werden, um eine rechtliche Duldung zu vermeiden. Um die Nutzung externer Endgeräte auszuschließen, empfiehlt sich ferner der Einsatz eines Network Access Control Systems. Dieses stellt sicher, dass keine unternehmensfremden Geräte ins Firmennetzwerk gelangen bzw. diese schnell aufgefunden werden können. Sind die Dienste bekannt, kann gemeinsam mit den Fachabteilungen eine Lösung gefunden werden, diese in die Unternehmens-IT zu integrieren oder abzuschalten.

Kontaktieren Sie uns, wenn Sie Unterstützung im Umgang mit Ihrer Schatten-IT benötigen.