Nicht autorisierte Software (Shadow IT) kann eine Vielzahl an Problemen mit sich bringen. Einige davon lassen sich mit Hilfe von Verschlüsselung lösen.
Marketing Jobs bei Boxcryptor
Jonathan Zimmermann | Marketing Manager
@JonZmoep
Friday, February 9, 2018

Shadow IT beunruhigt Datenschutzbeauftragte und IT Abteilungen

Als Shadow IT wird Software bezeichnet, die ohne Wissen und ohne Genehmigung der zentralen IT-Abteilung eines Unternehmens auf geschäftlich genutzten Geräten installiert wird. Solche Software befindet sich außerhalb der genehmigten IT-Infrastruktur und birgt nicht zu unterschätzende Risiken für Unternehmen.

Warum gibt es Shadow IT?

Der Begriff Shadow IT lässt uns an Finsternis denken – und an Schadsoftware. Tatsächlich ist er aber eher neutral zu verstehen: Gemeint ist schlichtweg Software, die ohne das Wissen der IT-Abteilung installiert wurde. Der Großteil der als Shadow IT zu bezeichnenden Software wird aus den unterschiedlichsten, meist arglosen Gründen installiert. Oftmals möchten Angestellte Zugriff auf eine spezielle Software oder einen Web-Service erhalten, haben aber nicht die Geduld dazu, den offiziellen Weg über die IT-Abteilung des Unternehmens zu gehen. Ohne böse Hintergedanken wird diese Software oder der Service kurzerhand auf einem Endgerät installiert und genutzt. Die Hauptgründe für die Existenz von Shadow IT in Unternehmen sind Bequemlichkeit, Ungeduld und Unwissenheit mancher Angestellten.

Viele möchten am Arbeitsplatz nicht auf den gewohnten Umgang mit einer bekannten, privat genutzten Software oder auf Musik-Streaming verzichten.

Ein weiterer wichtiger Grund für die Benutzung von Software außerhalb der bestehenden IT-Infrastruktur, sind spezifische Anforderungen einzelner Abteilungen an Hard- und Software. Zusätzlich geht eine Gefahr für die IT-Sicherheit auch von mobilen Geräten aus. Mobile Flash-Datenträger sind ein großer Risikofaktor, da sich auf ihnen schnell und einfach bösartige Software in ein Unternehmensnetzwerk einschleusen lässt.

Insbesondere der Zugriff auf IT-Infrastruktur von Smartphone oder Tablet stellt eine wachsende Gefahr für die IT-Sicherheit von Firmen-Netzwerken dar. Denn die Verwendung von mobilen Endgeräten und die damit verknüpften Sicherheitsrisiken nehmen immer weiter zu.

Auch populär genutzte Online-Services für Mail, Videotelefonie oder Instant Messaging, wie Gmail, Skype und WhatsApp, stellen eine nicht zu unterschätzende Gefahr für ein Firmennetzwerk dar. Viele Abteilungen nutzen zudem Cloud-Speicherdienste, um das Teilen und Bearbeiten von Dateien im Team besonders einfach und effizient zu gestalten.

Welche Gefahren gehen von Shadow IT aus?

Durch Shadow IT entstehen nicht nur große Gefahren für im Unternehmen gespeicherte Daten, da ein Netzwerk mithilfe unautorisierter Software für Angriffe sehr verwundbar gemacht werden kann. Es kann auch zu anderen Probleme mit der Benutzbarkeit kommen, zudem spielen rechtliche Aspekte eine Rolle.

Einige Beispiele für Probleme, die durch Shadow IT entstehen können, haben wir hier zusammengetragen:

  • Durch Shadow IT können Probleme mit der Bandbreite entstehen, wenn beispielsweise alle Angestellten gleichzeitig Musik streamen.
  • Viele Apps und Dienste übernehmen automatisch alle Kontakte, die im Adressbuch des jeweiligen Gerätes gespeichert sind. So können Geschäftskontakte bei Dritten landen, was in der Regel sowohl eine Verletzung von internen Compliance-Vereinbarungen, als auch ein Verstoß gegen den Datenschutz bedeutet. Dies betrifft zum Beispiel Messenger wie WhatsApp, ist aber auch bei Netzwerken wie LinkedIn und Facebook ein bekanntes Problem.
  • In einer Cloud gespeicherte Daten werden mit der Cloud-eigenen „Teilen“-Funktion von einem Endgerät auf ein anderes übertragen. So passiert es schnell, dass sensible Daten exponiert werden, was wiederum sowohl gegen Datenschutz- als auch Compliance-Richtlinien verstößt.

Wie lässt sich das Risiko durch Shadow IT minimieren?

Zwar kann ein grundsätzliches Verbot jeglicher „Fremdsoftware“ die Gefahren durch Shadow IT verringern, jedoch bedeutet dieser Ansatz einen erheblichen Mehraufwand für die IT-Abteilung. Denn die IT-Abteilung wird mehr Zeit und Nerven aufwenden müssen, sich mit der Integration benötigter oder gewünschter Software in die Infrastruktur zu beschäftigen. Die dadurch gebundenen Ressourcen können sicherlich besser verwendet werden.

Wenn Investitionen in die IT-Sicherheit vorgenommen werden sollen, gibt es zahlreiche Möglichkeiten, wie beispielsweise der Einsatz von Endpoint-Security oder einer Investition in kontrolliert gesteuerte Netzwerk-Hardware.

Der von uns bevorzugte Ansatz ist jedoch, das Thema Shadow IT nicht zu tabuisieren, sondern vielmehr die Angestellten zu sensibilisieren. Ratsam ist es, einen unkomplizierten Prozess zu finden, um benötigte oder gewünschte Software und Services in die IT-Infrastruktur zu übernehmen. Dieser Ansatz nimmt erhebliche Last von der IT-Abteilung und fördert sowohl die Zufriedenheit als auch die Effizienz der Mitarbeiter im Umgang mit Soft-und Hardware im Unternehmen.

Besondere Vorsicht gilt bei Nutzung von Cloud-Speicherdiensten

Wo sensible oder personenbezogene Daten, wie beispielsweise Kundendaten im Customer-Relationship-Management, in einer Cloud gespeichert werden ist besondere Vorsicht geboten. Die Auslagerung von Speicher in eine Cloud macht Sinn, betrachtet man zum Beispiel die Kosten für den Speicherplatz, die Verfügbarkeit oder den Umgang mit versionierten Daten.

Cloud-Nutzung an sich birgt jedoch ein gewisses Risiko durch unautorisierten Zugriff Dritter. So ist es theoretisch möglich, Daten „unterwegs“ (also auf dem Weg vom Rechner ins Rechenzentrum) abzufangen, aber auch Angriffe innerhalb der Cloud – wie beispielsweise durch die Sicherheitslücke Meltdown – sollten bedacht werden.

Die „Schattennutzung“ von Cloud-Speicherdiensten zum Teilen von Dateien ist so weit verbreitet, dass die meisten Unternehmen von dieser Gefahr betroffen sein dürften. Deshalb sollten Maßnahmen ergriffen werden, welche die Nutzung solcher Services auf sichere Art und Weise zulässt.

Um Daten in der Cloud zu schützen ist Ende-zu-Ende-Verschlüsselung, wie Boxcryptor sie bietet, die beste Methode. Der Zugriff auf unternehmensinterne Daten ist so durch die Kombination aus zwei starken Verschlüsselungsalgorithmen geschützt, während die Arbeit im Team weiterhin unverändert und einfach möglich ist.

Die Nutzung von Boxcryptor ermöglicht sicheres und einfaches Teilen und Bearbeiten von Daten und Dateien für Teams – nahtlos integriert in Ihre bestehende Infrastruktur, Datei- und Nutzerverwaltung.

Der Einsatz von Boxcryptor hilft Unternehmen das Risiko durch Shadow IT zu senken. Sensible Daten bleiben sicher, die Nutzer können wie gewohnt mit Dropbox & Co. arbeiten, die IT-Abteilung wird entlastet und die Compliance-Abteilung muss sich, auch im Angesicht der neuen europäischen Datenschutzgrundverordnung, nicht mehr vor Shadow IT fürchten.

Weitere Informationen über Boxcryptor Company und Enterprise

Auf unserer Webseite finden Sie weitere Informationen über das neue Lizenzmodell, ein kostenloses Webinar und die Möglichkeit, Boxcryptor für Teams kostenlos zu testen.

BOXCRYPTOR ENTERPRISE KENNENLERNEN
Beitrag teilen