Chancen und Risiken der Schatten-IT

In der Coronakrise drückten viele Unternehmen beim Einsatz von Schatten-IT mehr als ein Auge zu. Dabei birgt sie gerade für Firmen, die VPN-Netzwerke nutzen, viele Gefahren.

In den letzten Jahren ist das Thema Schatten-IT, also die Nutzung von Anwendungen, Geräten und Diensten ohne Kontrolle und explizite Freigabe durch die IT-Abteilung eines Unternehmens, wieder in den Hintergrund geraten. Schatten-IT kann sich jedoch als Albtraum für die IT-Spezialisten entpuppen, wenn sie Sicherheitslücken aufweist und Cyberkriminelle sie als Einfallstor für ihre Malware missbrauchen. 

Warum immer mehr Angestellte zur Schatten-IT greifen

Das Thema ist noch lange nicht erledigt, auch wenn manche Beobachter das anders sehen. So rechnet das Marktforschungsunternehmen Gartner damit, dass die Zahl der nicht autorisierten Lösungen in Unternehmen in den kommenden Jahren stark ansteigen wird. Im Jahr 2022 hätten bereits 41 Prozent der Mitarbeiter in den Unternehmen Technologien erworben, verändert oder hergestellt, die außerhalb des Einflussbereichs der IT-Abteilungen liegen. Bis 2027 werde dieser Anteil noch weiter auf rund 75 Prozent steigen, prognostizieren die Marktforscher.

Gartner empfiehlt den Betrieben deshalb, über den häufig vorherrschenden Fokus auf Technologie und Automatisierung hinauszugehen und sich stärker auf die Mitarbeitenden selbst zu konzentrieren. Nur so könnten sie Einfluss auf deren Entscheidungsfindung nehmen und sicherstellen, dass diese über das nötige Wissen verfügen, um fundiert und verantwortungsvoll zu handeln. Die notwendige Neugestaltung der in den Firmen angewandten Cybersicherheitsmodelle sei der Schlüssel für die bevorstehenden Veränderungen.

Welche Vor- und Nachteile die Schatten-IT mit sich bringt

Dennoch ist Schatten-IT nicht grundsätzlich als negativ einzustufen. So hat zum Beispiel Capterra (Online-Marktplatz für Unternehmenssoftware) im vergangenen Jahr eine Studie mit mehr als 300 IT-Managern in kleinen und mittelständischen Unternehmen durchgeführt, um die Auswirkungen der Schatten-IT in diesen Firmen genauer zu untersuchen.

Die Capterra-Mitarbeiterin Olivia Montgomery schreibt in der Auswertung der Ergebnisse, dass die Schatten-IT zwar häufig eine Bedrohung für die IT-Sicherheit eines Unternehmens darstelle. Sie schaffe aber fast immer auch etwas Wertvolles. Das Spektrum reiche von Beschäftigten, die ohne Wissen der IT-Abteilung ein Tool für Videokonferenzen herunterladen und verwenden, bis zur Entwicklung und Nutzung eigens erstellter Datenbanken mit Kundendaten, die ebenfalls nicht offiziell freigegeben sind.

Fast alle, nämlich 98 Prozent der Befragten, sehen langfristige Vorteile durch den Einsatz von Schatten-IT in ihrem Betrieb. 54 Prozent der IT-Manager gaben an, die Zufriedenheit der Mitarbeiter sei dadurch gestiegen. 51 Prozent berichten von Zeitersparnissen und rund 80 Prozent von positiven finanziellen Effekten.

Kurzfristig können aber auch Nachteile auftreten. So nannten 89 Prozent zusätzlich anfallende Kosten oder die Anschaffung von Ersatzlösungen. 91 Prozent bemängelten den hohen Aufwand für die Integration der nicht autorisierten Lösungen in die offizielle IT-Infrastruktur. Über drei Viertel der Befragten (76 Prozent) gaben zudem an, dass durch die Schatten-IT mittlere bis schwere Sicherheitsrisiken entstanden sind. Und genau hier liegt für viele Beobachter der Knackpunkt.

So birgt die Schatten-IT unter Sicherheitsaspekten ernsthafte Risiken:

  • Mangelnde Kontrolle über Security-Updates: Wenn die IT-Abteilung keinen Zugriff auf Anwendungen, Geräte oder Dienste hat, kann sie sich auch nicht um das zeitnahe Einspielen von Sicherheits-Patches kümmern. Dadurch entstehen schnell neue, zum Teil gravierende Sicherheitslücken – Hacker oder Malware können in die internen Systeme eindringen.
  • Unberechtigter Zugriff auf vertrauliche Daten: Viele Mitarbeiter nutzen nicht autorisierte Geräte oder Anwendungen, um damit auf vertrauliche Daten zuzugreifen. Was dann mit diesen sensiblen Daten geschieht, entzieht sich der Kontrolle der IT-Abteilung. Neben unberechtigten Zugriffen besteht dabei auch die Gefahr, dass unbemerkt Änderungen an den Geschäftsdaten vorgenommen werden.

Die Beispiele zeigen, dass es für Unternehmen umso schwieriger wird, die regulatorischen Anforderungen zu erfüllen, je mehr Schatten-IT existiert. Die genannten Probleme gelten insbesondere für Firmen, deren Beschäftigte aus der Ferne über Virtuelle Private Netzwerke (VPNs) auf interne Ressourcen zugreifen. Nicht nur zu Beginn der Coronakrise wurden hier immer wieder private Geräte zugelassen, weil nicht genügend betrieblich zugelassene Hard- und Software zur Verfügung stand.

Wie Virtuelle Private Netze die Schatten-IT absichern

Die eingesetzte VPN-Lösung sollte deshalb einige wesentliche Anforderungen erfüllen. So sollte sie nicht nur einen maximalen Schutz für die übertragenen Daten bieten. Sie muss es auch schaffen, die remote genutzten Anwendungen, Geräte und Dienste über Endpoint Policy Controls in die Sicherheitsstrategie des Unternehmens einzubinden. Dies erfordert nicht nur ein zentrales Management, sondern auch komfortable Konfigurationsmöglichkeiten.

Das von NCP entwickelte Secure Enterprise Management kümmert sich zentral um Software- und Konfigurations-Updates, die Benutzer-, Lizenz- und Zertifikatsverwaltung sowie um die vollautomatische Benutzeranmeldung.

Durch die direkte Integration in meist bereits vorhandene Verzeichnisdienste wie LDAP oder Active Directory lässt sich ein vollautomatisches Identitätsmanagement für mobile Benutzer einführen. Sogenannte Parametersperren und entsprechende Konfigurationen minimieren darüber hinaus die Sicherheitsrisiken auf Seiten der Endanwender weiter.

Weitere Vorteile:

  • Zwei-Faktor-Authentifizierung mit One-Time-Passwörtern (OTPs)
  • integrierter RADIUS-Server
  • Policy Enforcement
  • Network Access Control (NAC)

Auf den Endgeräten der Angestellten müssen dazu spezielle Clients installiert werden, die für alle Zugriffe notwendig sind. Sie überprüfen die Einhaltung der Sicherheitsrichtlinien und verweigern gegebenenfalls in Absprache mit den zentralen Servern den Remote-Zugriff. Außerdem prüfen sie beispielsweise die Versionen des Betriebssystems, des VPN-Clients und anderer Software. Darüber hinaus kontrollieren sie das Vorhandensein von aktueller Antivirus-Software und den erforderlichen Zertifikaten. 

Werden diese Policy-Checks nicht zufriedenstellend erfüllt, ist kein oder nur ein eingeschränkter Zugriff auf die unternehmenseigenen Ressourcen erlaubt. Damit sinkt das mit der Schatten-IT verbundene Risiko erheblich. Für zusätzlichen Komfort sorgen zudem Funktionen wie die optionale Einrichtung einer „Home Zone“, in der die Mitarbeiter zum Beispiel ihre eigenen Drucker nutzen dürfen, ohne die Sicherheitsvorgaben zu verletzen.


Sie möchten mehr über Endpoint Security und den Aufbau sicherer Remote-Access-Umgebungen erfahren? Unser Datenblatt verrät Ihnen weitere Details zum NCP Secure Enterprise Management.

Jetzt Datenblatt herunterladen!